Hacker nutzen Facebook-Werbungen und gekaperte Seiten, um gefälschte KI-Dienste wie MidJourney, OpenAI’s SORA, ChatGPT-5 und DALL-E zu bewerben und ahnungslose Nutzer mit Malware zu infizieren, die Passwörter stiehlt.

Diese betrügerischen Werbekampagnen werden von gekaperten Facebook-Profilen erstellt, die sich als beliebte KI-Dienste ausgeben und vorgeben, einen exklusiven Einblick in neue Funktionen zu bieten. Nutzer, die von den Anzeigen getäuscht werden, treten betrügerischen Facebook-Gruppen bei, in denen die Angreifer Nachrichten, KI-generierte Bilder und andere relevante Informationen posten, um die Seiten seriös erscheinen zu lassen.

Allerdings bewerben die Beiträge in der Community oft den zeitlich begrenzten Zugang zu kommenden und mit Spannung erwarteten KI-Diensten und verleiten die Nutzer dazu, bösartige ausführbare Dateien herunterzuladen, die Windows-Computer mit informationsstehlender Malware wie Rilide, Vidar, IceRAT und Nova infizieren.

Die informationsstehlende Malware konzentriert sich darauf, Daten aus dem Browser des Opfers zu stehlen, einschließlich gespeicherter Anmeldedaten, Cookies, Kryptowährungswallet-Informationen, Autocomplete-Daten und Kreditkarteninformationen. Diese Daten werden dann auf Darknet-Märkten verkauft oder von den Angreifern genutzt, um die Online-Konten des Ziels zu übernehmen und weitere Betrügereien durchzuführen oder Betrug zu begehen.

Kampagne zu Midjourney

Das Ausmaß dieser Kampagnen ist in einigen Fällen erschreckend, da das Interesse an KI derzeit sehr hoch ist. Die Entwicklungen auf diesem Gebiet sind so rasant, dass es für die Menschen nicht einfach ist, Schritt zu halten und legitime Ankündigungen von offensichtlichen Fälschungen zu unterscheiden.

In einem der von Bitdefender-Forschern beobachteten Fälle sammelte eine bösartige Facebook-Seite, die Midjourney imitierte, 1,2 Millionen Follower und blieb fast ein Jahr lang aktiv, bevor sie schließlich geschlossen wurde. Die Seite wurde nicht von Grund auf neu erstellt, sondern die Angreifer kaperten ein bestehendes Profil im Juni 2023 und verwandelten es in eine gefälschte Midjourney-Seite. Facebook schloss die Seite am 8. März 2024.

Viele Beiträge verleiteten die Menschen dazu, die Informationendiebe herunterzuladen, indem sie eine nicht existierende Desktop-Version des Tools bewarben. Einige Beiträge hoben die Veröffentlichung von V6 hervor, die offiziell noch nicht erschienen ist (die neueste Version ist V5).

In anderen Fällen bewarben die bösartigen Anzeigen die Möglichkeit, NFT-Kunst zu erstellen und ihre Kreationen zu monetarisieren.

Die Betreiber dieser Kampagne richteten mehrere Websites ein, die die offizielle Midjourney-Landingpage kopierten, und täuschten die Nutzer damit, dass sie über einen GoFile-Link die neueste Version des Kunstgenerierungstools herunterluden. Stattdessen erhielten sie Rilide v4, das sich als Google Translate-Erweiterung für ihren Webbrowser tarnte und im Hintergrund Facebook-Cookies und andere Daten ausspionierte.

Obwohl diese Seite mittlerweile geschlossen wurde, haben die Bedrohungsakteure eine neue Seite mit über 600.000 Mitgliedern ins Leben gerufen, die eine gefälschte Midjourney-Seite bewirbt, die Malware verbreitet.

Der Erfolg dieser Kampagne unterstreicht die Raffinesse von auf sozialen Medien basierenden Malvertising-Strategien und die Wichtigkeit der Wachsamkeit im Umgang mit Online-Werbungen.

Die enorme Reichweite sozialer Netzwerke wie Facebook, gepaart mit unzureichender Moderation, ermöglicht es diesen Kampagnen, über längere Zeiträume fortzubestehen und so die unkontrollierte Verbreitung von Malware zu erleichtern, die zu umfangreichen Schäden durch Malware-Infektionen führt.