In Zeiten, in denen Künstliche Intelligenz (KI) boomt und immer mehr Menschen sowie Unternehmen die vielfältigen Möglichkeiten dieser Technologie nutzen wollen, haben Cyberkriminelle eine neue Angriffsmethode entdeckt, die auf genau diesem Interesse aufbaut. Gefälschte KI-Installer in Kombination mit Ransomware sind zu einer hochgefährlichen Bedrohung geworden, die den guten Willen und die Neugier vieler Menschen auszunutzen versucht. Dabei ist die Vorgehensweise der Angreifer raffiniert und erinnert an eine Art digitale Falle, die nur schwer zu durchschauen ist. Wer sich nicht bestens informiert und sensibilisiert zeigt, könnte schnell Opfer eines solchen Angriffs werden.Die Masche der Kriminellen baut auf der Tatsache auf, dass Nutzer von legitimen KI-Anwendungen, die viral im Internet beworben werden, leicht dazu verleitet werden können, vermeintliche Freeware oder andere Anwendungen herunterzuladen, die sich als authentische KI-Programme tarnen.
Diese gefälschten Installer sehen auf den ersten Blick absolut glaubwürdig aus, bedienen sich ähnlicher URLs wie die echten Anbieter oder variieren diese nur minimal, um bei Suchanfragen möglichst weit oben zu erscheinen und potentiellen Opfern direkt ins Auge zu fallen. Ein Beispiel dafür ist etwa eine Webseite namens novaleadsai[.]com, welche den legitimen Anbieter novaleads.app imitiert – mit dem Unterschied, dass die gefälschte Seite mit einem versteckten schädlichen Inhalt ausgestattet ist.Neben dem Täuschungsversuch legen die Kriminellen noch eine gefährliche Ebene drauf, indem die heruntergeladenen Programme Ransomware enthalten – eine Schadsoftware, die Daten auf dem System verschlüsselt und die Betroffenen erpresst, um mit Lösegeldzahlungen ihre Dateien wieder zu entschlüsseln.
Eine solche Ransomware namens CyberLock ist dabei besonders heimtückisch. Sie kann sich nicht nur als legitimer KI-Installer tarnen, sondern erlangt nach der Ausführung auf dem infizierten Gerät Administratorrechte, um möglichst tiefgehende Schäden anzurichten. Die Kriminellen verlangen im Anschluss eine sehr hohe Summe – zum Beispiel 50.000 Dollar in der Kryptowährung Monero – und kommunizieren dabei mit ihren Opfern über verschlüsselte E-Mail-Dienste im Tor-Netzwerk, um ihre Identität möglichst zu verbergen.Die aktuell beobachteten Fälle zeigen zudem, dass Kriminelle versuchen, durch sogenannte psychologische Tricks ihren Forderungen einen scheinbar wohltätigen Anstrich zu geben.
So behauptet die CyberLock-Ransomware, dass eingehende Lösegeldzahlungen für humanitäre Projekte in verschiedenen Krisenregionen genutzt werden sollen. Experten wie Chetan Raghuprasad von Cisco Talos warnen jedoch dringend davor, solchen Aussagen Glauben zu schenken: Sie dienen lediglich dazu, die Opfer weniger empfänglich für Gegenwehr zu machen und die öffentliche Empörung zu schwächen. Vergleichbare Behauptungen waren bereits von anderen bekannten Ransomware-Gruppen zu hören, doch eine tatsächliche Umsetzung dieser Versprechungen hat es nie gegeben.Neben CyberLock tauchen weitere Varianten von Ransomware in diesen KI-Bezügen auf, wie zum Beispiel Lucky_Gh0$t, eine besonders raffinierte Schadsoftware, die sich als ChatGPT-Installer tarnt. Diese Version ist in der Lage, Antivirenprogramme zu umgehen, Backup-Kopien zu löschen und starke Verschlüsselungsmethoden wie AES-256 und RSA-2048 einzusetzen, um den Zugriff auf Daten vollständig zu blockieren.
Die Verbreitung dieses Schädlings erfolgt breitflächig und ungefiltert, was bedeutet, dass keine klar definierten Zielgruppen ins Visier genommen werden, sondern vielmehr versucht wird, die hohe Popularität von ChatGPT und ähnlichen Anwendungen zu nutzen, um möglichst viele Opfer zu erreichen.Eine weitere Variante ist die „Numero“-Malware, die ebenfalls einen KI-Installer vorgibt, in diesem Fall einen für ein angebliches Videoerstellungstool namens InVideo AI. Nummero zeichnet sich dadurch aus, dass sie die grafische Oberfläche von Windows manipuliert und in einer sogenannten Endlosschleife den Computer handlungsunfähig macht. Damit wird das betroffene Gerät faktisch zerstört und für den Nutzer unbrauchbar. Obwohl Talos im untersuchten Zeitraum keine aktiven Webseiten mit diesem Schadprogramm gefunden hat, spricht die Existenz dieser Malware im Zusammenhang mit gefälschten KI-Anwendungen dafür, dass es sich hierbei um einen breit angelegten Trend handelt.
Derartige Bedrohungen sind vor allem deswegen so problematisch, weil das generelle Vertrauen in KI stark wächst, was die Aufmerksamkeitschwelle für Sicherheitsbedenken senkt. Nutzer, insbesondere in kleinen und mittelständischen Unternehmen, Start-ups und auch im privaten Bereich, sind oft nicht ausreichend vorbereitet oder geschult, um die Gefahr einer Infektion durch solche gefälschten Installer zu erkennen und konsequent abzuwehren. Dies macht die Fälle der letzten Monate zu einem Weckruf für alle, die KI-Tools verwenden oder darüber nachdenken, diese zu nutzen. Eine gewisse Skepsis gegenüber unbekannten Quellen und Angeboten sollte immer herrschen, insbesondere wenn vermeintliche Gratisangebote oder extrem vielversprechende Werbungen auf den jeweiligen Downloadseiten auftauchen.Die Forschung von Cisco Talos sowie Berichte von Sicherheitsunternehmen wie Mandiant zeigen deutlich, dass Cyberkriminelle sich zunehmend auf die Popularität von KI-Anwendungen stürzen, um ihre Ziele zu erreichen.
Social-Media-Plattformen werden ebenso genutzt, um mit manipulierten Werbeeinblendungen Nutzer auf schädliche Seiten zu locken. Diese Seiten sehen möglichst professionell aus und suggerieren einen echten Geschäftsbetrieb. Das schnelle Wachstum des KI-Marktes ist dabei der ideale Nährboden für diese Maschen, da viele Anwender aus Neugier und aufgrund des vermeintlichen günstigen Zugangs neue Tools ausprobieren wollen.Die technischen Mittel, die Kriminelle einsetzen, sind stets weiterentwickelt. Die Malware wird in verschiedenen Programmiersprachen wie .
NET, C++ oder VB Script verfasst und nutzt Skripte sowie Batch-Dateien, um sich neben der Schadensfunktion auch gegen Sicherheitsmaßnahmen zu schützen und sich selbstständig neu zu starten. Dabei wird sowohl die Verbreitung der Schadsoftware als auch der erpresserische Angriff selbst so gestaltet, dass die Spuren bestmöglich verwischt werden. Die Kommunikation über anonyme E-Mail-Server im Tor-Netzwerk erschwert zudem die Verfolgung der Täter.Was können Betroffene und Interessierte tun, um sich zu schützen? Information ist der erste Schritt. Es sollte keinesfalls über Suchmaschinen oder Werbeanzeigen auf dubiose Quellen vertraut werden, auch wenn diese viele Versprechen machen.
Nur offizielle Webseiten etablierter Anbieter sollten für den Download und die Installation von KI-Anwendungen genutzt werden. Außerdem helfen technische Schutzmaßnahmen wie aktuelle Antivirenprogramme, regelmäßige Backups und das Vermeiden von Administratorrechten im Alltag dabei, das Risiko einer erfolgreichen Infektion zu minimieren. Sensibilisierungskampagnen innerhalb von Unternehmen können zudem Mitarbeitende für diese neue Art von Cyberbedrohung wappnen, da Angreifer bewusst auf menschliche Schwachstellen setzen.Auch Institutionen und Plattformbetreiber sind gefordert, gezielt gegen gezielte Fake-Anzeigen und betrügerische Webpräsenzen vorzugehen. Kooperationen zwischen Sicherheitsfirmen, staatlichen Stellen und der KI-Branche könnten dazu beitragen, solche Angriffe frühzeitig zu erkennen und zu stoppen.
Dennoch bleibt es eine Herausforderung, die vielen Facetten dieses neuen kriminellen Geschäftsmodells in den Griff zu bekommen. Die schnelle Verbreitung von KI-Anwendungen wird von den Betreibern dieser Angriffsmuster clever ausgenutzt.Zusammenfassend lässt sich sagen, dass die neue Generation an Cyberangriffen, welche gefälschte KI-Installer mit Ransomware kombiniert, eine ernsthafte Gefahr darstellt, die nicht unterschätzt werden darf. Das zunehmende Interesse und die Verbreitung intelligenter Technologien bieten Kriminellen einen fruchtbaren Boden für ihre Angriffe. Ein kritisches und vorsichtiges Verhalten beim Umgang mit unbekannten KI-Angeboten, gepaart mit technischen Schutzmechanismen und Aufklärungsarbeit, sind wesentliche Schritte, um sich und sein Unternehmen vor diesen Bedrohungen zu schützen.
Letztlich ist es eine gemeinsame Aufgabe von Anwendern, Unternehmen und Sicherheitsfachleuten, die digitale Welt gegen solche perfiden Angriffsmethoden zu verteidigen und die Möglichkeiten der KI sicher und verantwortungsvoll zu nutzen.
