De AI-race is begonnen! Het is makkelijk om het overzicht te verliezen over de nieuwste ontwikkelingen en mogelijkheden, maar toch wil iedereen met eigen ogen zien waar de hype over gaat. Hoogtijdagen voor cybercriminelen!
Vandaag, tijdens onze verkenning van onze Facebook-feed, stuitten we op een advertentie voor ‘Google Bard AI’. Deze advertentie stelde voor om de nieuwste versie van Google’s gerenommeerde AI-tool ‘Bard’ te downloaden en uit te proberen. Wat meteen onze aandacht trok, was het feit dat de verkorte URL geen enkele verwijzing naar Google bevatte, maar eerder leidde naar rebrand.ly, een service zonder duidelijke banden met Google en met kantoren in Dublin, Ierland. Het leek ons opmerkelijk dat een vooraanstaande internetgigant gebruik zou maken van de diensten van een externe provider, wat onze achterdocht wekte.
Daarnaast hebben we de tekst van de advertentie nogmaals doorgenomen en viel het ons op dat de inhoud nogal verwarrend was. Het verbaasde ons dat niemand deze opmerkelijke inconsistenties leek te hebben opgemerkt.
Afbeelding 1: Valse advertentie zoals getoond op Facebook
Is er gesproken over "Bots"?
We hebben vervolgens het commentaargedeelte onder de advertentie gecontroleerd, in de hoop aanwijzingen te vinden voor mogelijke frauduleuze activiteiten. Tot onze verrassing leek echter iedereen buitengewoon positief te zijn over ‘de app’. De verwijzingen naar ‘de app’ kwamen over het geheel vrij algemeen over, zonder enige vermelding van Google. Sommige gebruikers gaven zelfs aan “een waardering van 5 sterren” te geven in een commentaarsectie - een opmerkelijk fenomeen. Het leek haast alsof alle commentatoren tegelijkertijd de app hadden gedownload en getest, om vervolgens op exact hetzelfde moment hun opmerkingen te plaatsen – wat in ons geval “6 uur geleden” was. Dit verhoogde alleen maar onze vermoedens.
Afbeelding 2: Alle opmerkingen tegelijkertijd geschreven?
Het spoor nagaan
Om een diepere analyse uit te voeren, hebben we besloten onze beveiligde omgeving te activeren. Allereerst hebben we de rebrandly-link gecontroleerd op VirusTotal, waarbij drie van de negentig beoordelingen deze als kwaadaardig bestempelden. Dit was een eerste indicatie, maar nog geen definitief bewijs, aangezien het ook een fals-positive kon zijn.
Vervolgens hebben we besloten de link te openen in een anoniem browservenster, wat een verstandige keuze bleek te zijn, omdat de link leidde naar een legitieme Google-site: hxxps://sites.google.com/view/12345328?fbclid=IwAR2V87sG77nklWVC1tLS-R-fjrL_nNDhjtDorxKHkN56g8oNVV09Edjgwo
Als we de site hadden bezocht terwijl we waren ingelogd op onze browser, vooral met ons Google-account in Chrome, hadden de aanvallers mogelijk veel meer informatie over ons kunnen verzamelen dan wenselijk was.
Afbeelding 3: De download-pagina
Ondanks het feit dat de website wordt gehost op de cloudinfrastructuur van Google, is de inhoud ervan vanzelfsprekend niet gerelateerd aan, noch verstrekt door Google zelf. Bovendien zijn er enkele aanwijzingen die suggereren dat er hier sprake is van dubieuze bedoelingen. Laten we eerst kijken naar de paginatitel op het browsertabblad: “Trang chu” (Vietnamees voor “startpagina”). Daarnaast is het duidelijk dat de tekst op de website niet is opgesteld door moedertaalsprekers of ervaren Engelssprekenden, wat suggereert dat de verantwoordelijken achter deze campagne mogelijk gevestigd zijn in Vietnam. Het is echter belangrijk op te merken dat dit op zichzelf niet voldoende bewijs is.
Verder leidt de knop “Downloaden” naar hxxps://drive.google.com/u/0/uc?id=1sn-Lzt-2vJ_i-6I9lkbGgr_-IN2TVcA-&export=download, een persoonlijke Google Drive-ruimte, wat de indruk wekt dat de campagne een officieel aanbod van Google is. In werkelijkheid fungeert dit als een goedkoop distributiemiddel voor de aanvallers.
Er ontbreekt intelligentie, zelfs kunstmatige
Het bestand dat je hebt gedownload, betreft een gecodeerd archief met de naam “GoogleAIUpdata.rar”. Dit archief is als een gesloten schatkist, ontoegankelijk zonder het juiste wachtwoord. Als je probeert te verifiëren of het veilig is door middel van een virusscan, zul je tevergeefs zoeken, omdat het beveiligd is met een wachtwoord.
Mogelijk vraag je jezelf af waarom er een wachtwoord nodig is als het afkomstig is van Google zelf. In werkelijkheid is dit wachtwoord ene misleiding tactiek van cybercriminelen om de detectie van virusscanners te omzeilen. Wanneer je het archief opent met het vermelde wachtwoord “789” vanaf de downloadpagina, ontdek je dat het een uitvoerbaar bestand bevat genaamd “Google Bard AI setup.msi.” Gelukkig bestaan er gespecialiseerde programma’s die je kunnen helpen beoordelen of het veilig is, zonder de geheimen ervan te onthullen.
Bij nadere inspectie blijkt het bestand echter verre van onschuldig te zijn. Volgens sommige cybersecurity-experts wordt het maar liefst 26 van de 59 keer geïdentificeerd als kwaadaardig! Het draagt zelfs een ongewone naam, namelijk “JS/ExtenBro.Agent.EK.” Dit gedraagt zich als een schadelijk element dat probeert jouw computer te compromitteren, met als doel controle te verkrijgen. Voornamelijk fungeert het als Adware, wat resulteert in ongewenste advertenties op vrijwel elke website die je probeert te bezoeken. De aanvallers beloven geld voor elke advertentie die wordt weergegeven op het systeem van een slachtoffer.
Conclusie
Op het moment van schrijven blijft de lopende campagne zichtbaar, maar we hebben deze reeds gemeld, en we zullen ongetwijfeld niet de enigen zijn die dat hebben gedaan. Helaas wijst het verschijnen van vergelijkbare voorbeeld zoals “meta AI” en andere valser “Google AI”- advertenties erop dat dit mogelijk een grotere campagne betreft. Deze campagne lijkt in essentie een poging tot snel financieel gewin te zijn, aangewakkerd door de huidige en voortdurende hype rond kunstmatige intelligentie. Dit word bereikt door de verspreiding van Adware om op slinkse wijze meer inkomsten te genereren. Het is duidelijk dat dit geen verfijnde campagne is, maar de realiteit is dat mensen soms toegeven aan dergelijke verlokkingen in de hoop de nieuwste technologieën te verkrijgen.
Het is tevens van belang te onderstrepen dat we niet blind kunnen vertrouwen op technologiegiganten zoals Facebook en Google om een volledig schone en veilige online omgeving te waarborgen.
Met deze blogpost hopen we bij te dragen aan het bewustzijn van potentiële gevaren en hoe men een mogelijke oplichtings- of malware-aanval kan onderzoeken zonder de noodzaak van kostbare tools, rechtstreeks vanuit hun eigen omgeving.