Gipy, uma campanha recém descoberta usando uma cepa de malware infostealer, está mirando usuários na Alemanha, Rússia, Espanha e Taiwan com iscas de phishing prometendo um aplicativo de mudança de voz por IA.

Pesquisadores da Kaspersky disseram que o malware Gipy surgiu pela primeira vez no início de 2023 e, uma vez entregue, permite que adversários roubem dados, minerem criptomoedas e instalem malware adicional no sistema da vítima.

Neste caso, os atores de ameaça estão atraindo vítimas com a promessa de um aplicativo legítimo de alteração de voz por IA, explicaram os pesquisadores. Uma vez que o usuário o instala, o aplicativo começa a funcionar conforme prometido, enquanto o malware Gipy também é entregue em segundo plano, acrescentou a equipe do Kasperky.

Ao ser executado, os pesquisadores observaram que o malware Gipy lança então o malware protegido por senha do GitHub.

Durante a investigação da campanha, os especialistas analisaram mais de 200 desses arquivos.

“A maioria deles no GitHub contém o famoso roubador de senhas Lumma,” disse a Kaspersky em um comunicado por e-mail. “No entanto, os especialistas também encontraram Apocalypse ClipBanker, um minerador de criptomoedas modificado do Corona, e vários RATs, incluindo DCRat e RADXRat. Além disso, descobriram roubadores de senhas como RedLine e RisePro, um roubador baseado em Golang chamado Loli, e uma porta dos fundos baseada em Golang chamada TrueClient.”

Os pesquisadores alertam os usuários para estarem cientes de que os atores de ameaça estão ávidos para explorar a crescente popularidade de ferramentas de IA com esses tipos de explorações maliciosas.