تشهد الساحة الرقمية في الآونة الأخيرة تصاعدا خطيرا في الهجمات الإلكترونية التي تستغل شغف المستخدمين بتجربة أدوات الذكاء الاصطناعي الشهيرة مثل ChatGPT وInVideo AI.
حيث يستخدم القراصنة نُسخًا وهمية ومزيفة من هذه الأدوات كوسيلة للإيقاع بالضحايا، مستهدفين على وجه الخصوص العاملين في مجالات التسويق والمبيعات بين الشركات (B2B)، وهو ما يعكس تطورًا في أساليب الاحتيال التي تواكب توجهات السوق الرقمية.
من بين البرمجيات الخبيثة التي تم توظيفها في هذه الهجمات برمجية الفدية CyberLock، التي تم تطويرها باستخدام PowerShell، وتهدف إلى تشفير ملفات محددة في أجهزة الضحايا، بالإضافة إلى برمجية Lucky_Gh0$t، وهي نسخة معدّلة من سلسلة برمجيات الفدية Chaos، وتستهدف ملفات تقلّ أحجامها عن 1.2 جيغابايت بعد حذف النسخ الاحتياطية وظلال الأقراص. كما ظهرت برمجية جديدة تُدعى “Numero”، تقوم بتخريب واجهة المستخدم الرسومية لنظام ويندوز وتجعل الحاسوب غير قابل للاستخدام.
واستخدم المهاجمون موقعًا مزيفًا يدعى “novaleadsai[.]com”، يدّعي توفير أداة ذكاء اصطناعي مجانية لمدة عام، لكنه في الواقع يحمّل ملفًا خبيثًا بصيغة ZIP يحتوي على برنامج تنفيذي يعمل كناقل لبرمجية CyberLock. وتقوم هذه البرمجية برفع صلاحياتها على النظام وتشفير ملفات المستخدمين، ثم تطلب فدية تصل إلى 50,000 دولار بالعملة المشفرة “مونيرو”، مع رسالة تدّعي أن الأموال ستُستخدم لدعم قضايا إنسانية حول العالم.
أما في حالة برمجية Lucky_Gh0$t، فقد تم تضمينها في مثبت SFX مزيف يحتوي أيضًا على أدوات ذكاء اصطناعي حقيقية مفتوحة المصدر من مايكروسوفت، مما يزيد من خداع المستخدمين. وبمجرد تشغيل المثبت، يبدأ تنفيذ البرمجية الخبيثة، ويترك المهاجمون تعليمات للدفع عبر تطبيق المراسلة Session مع معرّف فريد لفك التشفير.
ومن جهة أخرى، كشفت شركة Mandiant التابعة لغوغل عن حملة إعلانية خبيثة تستهدف مستخدمي منصات التواصل مثل فيسبوك ولينكدإن، وتوجههم إلى مواقع مزيفة لأدوات ذكاء اصطناعي مثل Luma AI وCanva Dream Lab. ويُستخدم في هذه الهجمات برنامج إسقاط يُدعى STARKVEIL، والذي ينزّل ثلاث برمجيات خبيثة هي GRIMPULL وFROSTRIFT وXWorm، بهدف سرقة المعلومات وتنفيذ الأوامر عن بُعد، ما يُظهر مستوى متقدّم من التنظيم والمرونة في هذه الحملات.
