Gipy, uma campanha recém descoberta utilizando uma cepa de malware infostealer, está mirando usuários na Alemanha, Rússia, Espanha e Taiwan com iscas de phishing prometendo um aplicativo de alteração de voz de IA.

Os pesquisadores da Kaspersky afirmaram que o malware Gipy surgiu pela primeira vez no início de 2023 e, uma vez entregue, permite que os adversários roubem dados, minerem criptomoeda e instalem malware adicional no sistema da vítima.

Neste caso, os atores de ameaças estão atraindo as vítimas com a promessa de um aplicativo legítimo de alteração de voz de IA, explicaram os pesquisadores. Assim que o usuário o instala, o aplicativo começa a funcionar como prometido, enquanto o malware Gipy também é entregue em segundo plano, acrescentou a equipe da Kaspersky.

À medida que o Gipy é executado, os pesquisadores observaram que o malware então lança malware protegido por senha do GitHub.

Durante a investigação da campanha, os especialistas analisaram mais de 200 desses arquivos.

“A maioria deles no GitHub contém o infame rouba senhas Lumma”, afirmou a Kaspersky em um comunicado por e-mail. “No entanto, os especialistas também encontraram Apocalypse ClipBanker, um minerador de criptomoedas modificado Corona, e vários RATs, incluindo DCRat e RADXRat. Além disso, descobriram ladrões de senhas como RedLine e RisePro, um ladrão baseado em Golang chamado Loli e uma backdoor baseada em Golang chamada TrueClient.”

Os pesquisadores alertam os usuários a estarem cientes de que os atores de ameaças estão ansiosos para explorar a crescente popularidade das ferramentas de IA com esses tipos de exploits maliciosos.