Gipy, uma campanha recém descoberta utilizando uma cepa de malware infostealer, está direcionando usuários na Alemanha, Rússia, Espanha e Taiwan com iscas de phishing prometendo um aplicativo de mudança de voz de IA.

Pesquisadores da Kaspersky afirmaram que o malware Gipy surgiu pela primeira vez no início de 2023 e, uma vez entregue, permite que adversários roubem dados, minerem criptomoedas e instalem malware adicional no sistema da vítima.

Os atores de ameaças nesse caso estão atraindo vítimas com a promessa de um aplicativo legítimo de alteração de voz de IA, explicaram os pesquisadores. Uma vez que o usuário o instala, o aplicativo começa a funcionar conforme prometido, enquanto o malware Gipy também é entregue em segundo plano, acrescentou a equipe da Kaspersky.

Ao ser executado, os pesquisadores observaram que o malware Gipy lança então malware protegido por senha do GitHub.

Durante sua investigação sobre a campanha, os especialistas analisaram mais de 200 desses arquivos.

“Na maioria dos casos no GitHub, eles contêm o infame roubador de senhas Lumma,” disse a Kaspersky em um comunicado por e-mail. “No entanto, os especialistas também encontraram o ClipBanker do Apocalipse, um cryptominer Corona modificado, e vários RATs, incluindo DCRat e RADXRat. Além disso, descobriram roubadores de senhas como RedLine e RisePro, um roubador baseado em Golang chamado Loli, e uma porta dos fundos baseada em Golang chamada TrueClient.”

Os pesquisadores alertam os usuários a estarem cientes de que os atores de ameaças estão ansiosos para explorar a crescente popularidade de ferramentas de IA com esses tipos de exploits maliciosos.