サイバー犯罪者たちは、AI搭載のウェブサイト作成・ホスティングプラットフォーム「Lovable」を悪用し、フィッシングページやマルウェア配布ポータル、さまざまな詐欺サイトを作成するケースが増えています。
このプラットフォームで作成された悪意あるサイトは、大手で認知度の高いブランドになりすまし、ボットのアクセスを防ぐためにCAPTCHAなどのトラフィックフィルタリングシステムを備えています。
Lovableは悪用防止のための対策を講じていますが、AI搭載のサイトジェネレーターが増加するにつれ、サイバー犯罪への参入障壁はますます低くなっています。
出典: Proofpoint
Lovableを利用したキャンペーン
サイバーセキュリティ企業Proofpointは、2月以降「LovableのURLが数万件」メールで配信され、脅威として検出されたと報告しています。
本日のレポートでは、研究者がLovable AIウェブサイトビルダーを悪用した4つの悪意あるキャンペーンについて説明しています。
一例としては、「Tycoon」として知られるフィッシング・アズ・ア・サービスプラットフォームを利用した大規模な作戦があります。メールにはLovableでホストされたリンクが含まれ、CAPTCHA画面を経て、Azure ADやOktaのブランドを模した偽のMicrosoftログインページにリダイレクトされます。
これらのサイトは、アドバーサリー・イン・ザ・ミドル技術を用いて、ユーザーの認証情報、多要素認証(MFA)トークン、セッションクッキーを窃取しました。キャンペーン期間中、攻撃者は5,000の組織に数十万通のメッセージを送信しました。
出典: Proofpoint
2つ目の例は、UPSになりすました支払い情報およびデータ窃取キャンペーンで、約3,500通のフィッシングメールが送信され、被害者をフィッシングサイトへ誘導しました。
これらのサイトは、訪問者に個人情報、クレジットカード番号、SMSコードの入力を求め、それらの情報は攻撃者が管理するTelegramチャンネルに送信されました。
出典: Proofpoint
3つ目は、DeFiプラットフォーム「Aave」になりすました暗号通貨窃取キャンペーンで、SendGrid経由で約10,000通のメールが送信されました。
標的となったユーザーは、Lovableで生成されたリダイレクトやフィッシングページに誘導され、ウォレットの接続を促され、資産が盗まれる可能性がありました。
出典: Proofpoint
4つ目は、リモートアクセス型トロイの木馬「zgRAT」を配布するマルウェア配布キャンペーンです。
メールには、請求書ポータルを装ったLovableアプリへのリンクが含まれており、DropboxでホストされたRARアーカイブを配布していました。
これらのファイルには、正規の署名付き実行ファイルと、トロイの木馬化されたDLLが含まれており、DOILoaderを起動して最終的にzgRATをロードします。
悪用への対応
Lovableは7月に、悪意あるサイト作成のリアルタイム検出機能を導入し、公開されたプロジェクトを毎日自動スキャンして詐欺行為を発見・削除するようになりました。
開発元は、今秋にはさらに追加の保護策を導入し、プラットフォーム上で悪用アカウントを積極的に特定・ブロックする予定であると述べています。
Guardio LabsはBleepingComputerに対し、Lovableが依然として悪意あるサイトの作成に利用可能であることを確認しました。最近のテストでは、研究者が大手小売業者になりすました詐欺サイトを生成しましたが、プラットフォームからの異議はありませんでした。
BleepingComputerは、プラットフォーム上の既存の悪用防止策の有効性についてLovableに問い合わせましたが、コメントはすぐには得られませんでした。
