Gefälschte ChatGPT- und InVideo-KI-Downloads liefern Ransomware

Cisco Talos deckt CyberLock-Ransomware, Lucky_Gh0$t und Numero-Malware auf, die sich als legitime Software- und KI-Tool-Installationsprogramme tarnen. Erfahren Sie, wie diese gefälschten Installationsprogramme Unternehmen in Vertrieb, Technologie und Marketing ausnutzen.

Cybersicherheitsforscher von Cisco Talos haben gezeigt, dass die zunehmende Präsenz künstlicher Intelligenz ( KI ) in der Geschäftswelt neue Möglichkeiten für Cyberkriminelle eröffnet. Bedrohungsakteure verstecken Schadsoftware in gefälschten Installationsprogrammen für KI-Tools und verleiten Unternehmen so zum Download von Malware. Zu dieser neuen Welle gehören Ransomware wie CyberLock und Lucky_Gh0$t sowie zerstörerische Malware namens Numero.

Laut Forschern werden diese gefälschten KI-Tool-Installer über verschiedene Online-Kanäle verbreitet, unter anderem durch SEO-Poisoning (Manipulation des Suchmaschinen-Rankings), sodass die gefälschten Websites ganz oben in den Suchergebnissen erscheinen. Darüber hinaus werden soziale Medien und Messaging-Plattformen wie Telegram genutzt, um die bösartigen Links zu verbreiten.

Unternehmen, insbesondere in den Bereichen Vertrieb, Technologie und Marketing, sind bevorzugte Ziele, da sie häufig legitime KI-Tools zur Automatisierung , Datenanalyse und Kundenbindung verwenden.

Wie aus dem Bericht von Cisco Talos hervorgeht, der Hackread.com vor seiner Veröffentlichung am Donnerstag, dem 29. Mai, zur Verfügung gestellt wurde, laden ahnungslose Benutzer, wenn sie scheinbar harmlose Installationsprogramme herunterladen, unwissentlich Malware auf ihre Systeme ein, gefährden damit vertrauliche Geschäftsdaten und finanzielle Vermögenswerte und untergraben das Vertrauen in echte KI-Lösungen.

Diese Ransomware, die bereits im Februar 2025 entdeckt wurde, tarnt sich als KI-Plattform zur Lead-Monetarisierung namens NovaLeadsAI. Die Betreiber haben die gefälschte Website „ novaleadsaicom “ erstellt, die der echten „novaleads.app“ ähnelt. Um Opfer anzulocken, boten sie im ersten Jahr sogar einen irreführenden „kostenlosen Zugang“ an.

Nach dem Download installiert die Datei „NovaLeadsAI.exe“ die CyberLock-Ransomware. Diese in PowerShell geschriebene und mit CSharp-Code eingebettete Ransomware verschlüsselt verschiedene Dateitypen, darunter Dokumente, Tabellen, Bilder und Videos, und fordert ein Lösegeld von 50.000 US-Dollar in der Kryptowährung Monero (XMR).

Als manipulative Taktik behaupten Cyberkriminelle fälschlicherweise, das Lösegeld werde humanitäre Hilfe in Regionen wie Palästina, der Ukraine, Afrika und Asien unterstützen. CyberLock versucht außerdem, freien Speicherplatz auf der Festplatte über das integrierte Windows-Tool „cipher.exe“ zu löschen, was die Wiederherstellung gelöschter Dateien erschwert.

Diese Varianteder Yashma-Ransomware (Teil der Chaos-Ransomware -Serie) wird über gefälschte ChatGPT-Installationsprogramme verbreitet, meist als „ChatGPT 4.0 Vollversion – Premium.exe“. Dieses schädliche Installationsprogramm enthält die Datei „dwn.exe“, die die Ransomware sowie legitime Microsoft-KI-Tools enthält und so wahrscheinlich nicht erkannt wird.

Lucky_Gh0$t verschlüsselt Dateien kleiner als 1,2 GB und überschreibt auch größere Dateien mit einem einzelnen Zeichen. Die Opfer erhalten eine persönliche ID und werden angewiesen, für die Kommunikation eine sichere Messenger-Plattform zu verwenden.

Diese neu entdeckte zerstörerische Malware imitiert das Installationsprogramm von InVideo AI, einem beliebten Online-Videoerstellungstool. Die im Januar 2025 kompilierte Malware manipuliert Fenster und läuft kontinuierlich auf dem Rechner des Opfers. Sie macht Windows-Systeme unbrauchbar, indem sie die grafische Oberfläche beeinträchtigt. Sie wird durch die Überprüfung gängiger Malware-Analysetools wie IDA, x64-Debugger und OllyDbg nicht erkannt.

Angesichts dieser sich entwickelnden Bedrohungen müssen Organisationen und Einzelpersonen äußerst vorsichtig sein. Überprüfen Sie stets die Quelle von KI-Tools und laden Sie Software nur von vertrauenswürdigen Anbietern herunter.