Она маскируется под ИИ-генератор SoraAI
Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл ‘SoraAI.lnk’ под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.
«В данном случае киберзлодеи используют старую добрую технику фишинга из скоупа социальной инженерии, воспользовавшись ажиотажем вокруг новейших инструментов ИИ. Имитация легальных дистрибутивов ПО, красивая презентация инструмента и документация повышают доверие пользователей к репозиторию. Именно так вредоносный ‘SoraAl.lnk’ и попадает на эндпоинт жертвы. Разработчики часто загружают ПО с GitHub, что делает его идеальным инструментом для охвата технических специалистов», — объяснила Дмитриева.
Киберэксперт отметила, что вредоносное ПО, впервые обнаруженное 21 мая 2025 года, уже распространилось в нескольких странах. Его архитектура демонстрирует глубокое понимание механизмов безопасности Windows и обходит стандартные системы обнаружения.
«Первоначальное заражение начинается с ярлыка ‘Sora Al.lnk’, который пользователи скачивают, полагая, что это легитимный дистрибутив для запуска ИИ, — добавила киберэксперт. — При инициализации на устройстве этот файл размером 1,98 КБ запускает сложную последовательность команд PowerShell. На этапах разворачивания ВПО устанавливается соединение с репозиторием GitHub злоумышленника и загружается полезная нагрузка следующего этапа. Критичный момент, что вредонос использует легитимную инфраструктуру для предотвращения обнаружения. Атака проходит в несколько этапов, при этом каждый пакетный файл загружает и запускает последующие компоненты из репозитория GitHub ‘ArimaTheH/a’. Вредоносная программа создаёт временные файлы со случайными именами, чтобы избежать обнаружения. Конечная полезная нагрузка устанавливает несколько пакетов, включая requests, websocket-client и cryptography для Python, предоставляющие инструменты для кражи данных и зашифрованной связи с инфраструктурой управления и контроля».
«Архитектура вредоносного ПО демонстрирует глубокое понимание механизмов безопасности Windows и систем обнаружения конечных точек. Для защиты от фишингового сервиса SoraAI в GitHub рекомендуется заблокировать доступ к репозиторию ArimaTheH/a через межсетевые экраны и отключить выполнение PowerShell-скриптов по умолчанию. Обучите сотрудников проверять репутацию GitHub-репозиториев через VirusTotal перед загрузкой, ограничьте права пользователей с помощью политики минимальных привилегий и мониторьте создание временных файлов со случайными именами в системах. В то же время GSOC компании «Газинформсервис» обеспечивает предиктивную защиту именно от таких сложных угроз: специалисты помогут обнаружить отклонения в поведении пользователей и систем, вызванные кражей данных, даже если вредонос избежал сигнатурных детектов. При расследовании произошедших инцидентов вы получите единую картину угрозы — от точки входа до эксфильтрации данных — и гарантированное время реагирования (SLA) на инциденты, минимизирующее ущерб», — подытожила Дмитриева.
Фото: пресс-служба ООО «Газинформсервис»
