Ciberdelincuentes están explotando anuncios y páginas de Facebook comprometidas para difundir falsos servicios de Inteligencia Artificial como MidJourney, SORA, ChatGPT-5 de OpenAI, y DALL-E, infectando a usuarios con malware que sustrae contraseñas.
Estas campañas de anuncios malintencionados son lanzadas por cuentas de Facebook usurpadas que se disfrazan de reconocidas plataformas de IA, ofreciendo vistas previas de supuestas nuevas funcionalidades.
Los usuarios, engañados por estos anuncios, se unen a comunidades ficticias en Facebook. Dentro de estas, los malhechores comparten contenido relacionado con IA, como noticias y imágenes generadas artificialmente, para simular autenticidad.
A menudo, estas comunidades falsas promocionan acceso limitado a servicios de IA muy anticipados, induciendo a los usuarios a descargar archivos dañinos que comprometen equipos Windows con malware diseñado para el robo de información, incluyendo programas maliciosos como Rilide, Vidar, IceRAT y Nova.
Este software malintencionado apunta a extracción de datos importantes del navegador de las víctimas, tales como credenciales guardadas, cookies, detalles de billeteras de criptomonedas, información de autocompletado e información de tarjetas de crédito.
Posteriormente, esta información robada es comercializada en mercados de la dark web, o utilizada por los atacantes para acceder a cuentas en línea de las víctimas, propagar más estafas o cometer fraudes.
Conoce más sobre: Troyanos de Acceso Remoto: Software Malicioso (RAT)
Impacto de la Campaña Engañosa
La fascinación por la inteligencia artificial (IA) ha alcanzado niveles sin precedentes, impulsada por avances tecnológicos que avanzan a un ritmo vertiginoso. Este fervor ha creado un terreno fértil para que campañas engañosas florezcan, a veces con un éxito asombroso debido a la dificultad de distinguir entre lo auténtico y lo falso.
Un ejemplo alarmante de esta tendencia fue identificado por los investigadores de Bitdefender: una página de Facebook que imitaba a Midjourney logró atraer a 1,2 millones de seguidores. Esta página mantuvo su engaño durante casi un año, desde su usurpación en junio de 2023 hasta su cierre por Facebook el 8 de marzo de 2024, aprovechando el perfil de una cuenta existente transformada para este fin oscuro.
Lejos de ser una iniciativa inocua, la página utilizó su plataforma para promover la descarga de software malicioso, engañando a los usuarios con la promesa de una versión de escritorio de Midjourney que nunca existió. Incluso llegó a anunciar una versión V6 inexistente, pese a que la última versión real es la V5.
Además, en un giro hacia la explotación de tendencias actuales, algunos anuncios falsos ofrecían a los usuarios la oportunidad de crear y monetizar arte NFT, aprovechando el auge de estos activos digitales. Este caso subraya la importancia de ejercer un escepticismo saludable en línea y de verificar la autenticidad de cualquier oferta o servicio que prometa acceso a las últimas innovaciones en IA o arte digital.
Conoce más sobre: ¿Qué es Malvertising?: Anuncios Maliciosos en Línea
Los investigadores, al explorar la Biblioteca de Anuncios de Meta, descubrieron que los anuncios maliciosos tenían como objetivo principal a hombres de 25 a 55 años en Europa, enfocándose especialmente en países como Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumania y Suecia.
En una táctica de engaño avanzada, los responsables de la campaña no recurrieron a enlaces de Dropbox o Google Drive para distribuir el malware. En su lugar, establecieron sitios web falsificados que imitaban la página oficial de Midjourney, induciendo a los usuarios a descargar lo que creían era la versión más reciente de esta herramienta de creación artística a través de un enlace de GoFile.
Sin embargo, lo que los usuarios descargaban era Rilide v4, disfrazado de una extensión de Google Translate para navegadores web. Este programa malicioso operaba ocultamente, sustrayendo cookies de Facebook y otros datos sin el conocimiento del usuario.
A pesar de que la página inicial fue eliminada, los ciberdelincuentes no tardaron en lanzar una nueva, aún activa, con más de 600.000 miembros. Esta nueva página promueve otro sitio falso de Midjourney encargado de distribuir el malware.
El éxito de esta operación subraya la complejidad de las campañas de publicidad malintencionada en redes sociales y resalta la necesidad de estar alerta al interactuar con anuncios en línea. La vasta extensión de plataformas sociales como Facebook, sumada a la moderación insuficiente, facilita la persistencia y expansión de estas campañas maliciosas, agravando el riesgo y el impacto de las infecciones por malware.