Código HTML do Conteúdo
Post: Ai Waifu Rat explora os usuários com táticas avançadas de engenharia social
<div>
<div>
<p>Uma nova campanha sofisticada de malware emergiu que armazia a inteligência artificial e a engenharia social para direcionar comunidades on -line de nicho. </p>
<p>Os pesquisadores de segurança identificaram o “Ai Waifu Rat”, um Trojan de acesso remoto que se disfarça como uma ferramenta de interação inovadora de IA, fornecendo aos atacantes acesso completo ao sistema aos computadores das vítimas.</p>
<p>O malware tem como alvo especificamente <a href="https://gbhackers.com/llm-hijackers-exploit-deepseek-v3-model/" rel="noreferrer noopener" target="_blank">Modelo de linguagem grande (LLM)</a> Comunidades de interpretação de papéis, explorando o entusiasmo dos usuários pela tecnologia de IA de ponta e sua confiança em colegas de comunidade. </p>
<p>Em vez de depender puramente da sofisticação técnica, essa ameaça demonstra como os cibercriminosos modernos estão cada vez mais alavancando a manipulação psicológica para ignorar as defesas de segurança.</p>
<p>A campanha de ratos AI Waifu representa uma masterclass em marketing enganoso e manipulação social. O ator de ameaças, operando sob pseudônimos, incluindo Kazepsi e Psioniczephyr, se apresentou como um legítimo “jogador de criptografia da CTF” e pesquisador explorando os limites da IA. </p>
<p>Eles comercializaram seu software malicioso como uma emocionante “meta experiência” que permitiria aos personagens da IA ​​”quebrar a quarta parede” e interagir diretamente com os computadores do mundo real dos usuários.</p>
<p><strong>Táticas enganosas principais empregadas pelo ator de ameaças:</strong></p>
<ul>
<li><strong>Credenciais falsas</strong> – alegou ser um jogador experiente da CTF, apesar de não ter um histórico verificável da competição.</li>
<li><strong>Apresenta reflexão</strong> – Apresentou a execução do código arbitrário perigoso como um emocionante “recurso avançado”.</li>
<li><strong>Infiltração da comunidade</strong> -Construiu confiança participando das comunidades de interpretação de papéis da Niche LLM ao longo do tempo.</li>
<li><strong>Legitimidade técnica</strong> – usou jargão de programação e referências para criar uma aparência de especialização.</li>
</ul>
<p>Os recursos prometidos incluíam permitir que os caracteres da IA ​​leiam os arquivos locais para recursos de “interpretação de papéis personalizados” e diretos de “execução de código arbitrário”, apresentados como recursos avançados, em vez de vulnerabilidades de segurança. </p>
<p>Esse enquadramento mostrou -se devastadoramente eficaz na comunidade -alvo, onde os membros já estavam interessados ​​em novas interações de IA e dispostas a experimentar novas tecnologias.</p>
<p>O invasor instruiu explicitamente os usuários a desativar <a href="https://gbhackers.com/next-generation-antivirus-software/" rel="noreferrer noopener" target="_blank">software antivírus</a> Ou adicione o binário malicioso às listas de exclusão, alegando que elas eram “falsos positivos” devido às “operações de baixo nível” do programa. </p>
<p>Essa tática clássica de engenharia social explorou a curiosidade técnica do público -alvo enquanto desmontava sua principal linha de defesa contra a detecção de malware.</p>
<h2 id="technical-architecture-reveals-true-intent"><strong>A arquitetura técnica revela verdadeira intenção</strong></h2>
<p>Sob a atraente fachada de marketing, há um acesso remoto direto, mas perigoso, Trojan. O malware opera executando um agente local nas máquinas das vítimas que escuta os comandos na porta 9999. </p>
<p>Esses comandos, supostamente originários das interações IA, são transmitidos como solicitações HTTP de texto simples e executados diretamente no sistema de destino.</p>
<p>O rato expõe três pontos de extremidade críticos que fornecem acesso abrangente ao sistema. Os terminais “/execute_trusted” geram processos de PowerShell para executar comandos arbitrários, enquanto o terminal “/readfile” permite que os invasores acessem e exfilem qualquer arquivo no sistema local. </p>
<p>Um terceiro endpoint, “/Execute”, inclui o que parece ser um mecanismo de consentimento do usuário, mas isso prova ser um mero teatro de segurança, pois os invasores podem simplesmente ignorá -lo usando o terminal irrestrito “/execute_trusted”.</p>
<p>Essa arquitetura cria vários vetores de ataque além do controle do ator de ameaças originais. A comunicação HTTP de texto simples torna o sistema vulnerável a ataques de homem no meio de outros softwares maliciosos, enquanto a porta local fixa permite que sites maliciosos sequestrem potencialmente a conexão através de ataques baseados em navegador.</p>
<h2 id="pattern-of-malicious-behavior-and-evasion-tactics"><strong>Padrão de comportamento malicioso e táticas de evasão</strong></h2>
<p>A investigação sobre a história do ator de ameaças revela um padrão consistente de práticas perigosas de programação e intenção maliciosa. </p>
<p>Os lançamentos anteriores incluíram cartões de caráter de AI baseados na Web que usaram funções JavaScript Eval () para executar o código gerado por LLM diretamente nos navegadores-um anti-padronização fundamental de segurança que demonstra intenção maliciosa ou profunda negligência de segurança.</p>
<p>Um suposto “desafio da CTF” <a href="https://ryingo.gitbook.io/writeups-ai_waifu_rat" rel="noreferrer noopener nofollow" target="_blank">lançado</a> Pelo mesmo ator continha lógica explicitamente maliciosa, incluindo código que fecharia à força os computadores dos usuários se eles inserissem respostas incorretas. </p>
<p>O programa também implementou mecanismos de persistência e técnicas de anti-análise típicas do malware, apesar de serem comercializadas como um quebra-cabeça legítimo.</p>
<p>Quando os pesquisadores de segurança relataram o malware para os provedores de hospedagem, o ator de ameaças imediatamente iniciou as manobras de evasão. </p>
<p>Eles migraram o malware em várias plataformas, incluindo Github, Gitgud, OneDrive e Mega.NZ, frequentemente usando arquivos protegidos por senha para evitar a detecção. </p>
<p>O ator também criou vários aliases e contas para contornar os esforços de remoção, demonstrando uma consciência clara de suas atividades maliciosas.</p>
<p>A investigação revelou que, apesar das reivindicações de ser um experiente “jogador de criptografia da CTF”, não existem registros do ator de ameaças que participam da captura legítima das competições de bandeira ou das comunidades de pesquisa de segurança. </p>
<p>Essa falsa credencial parece fazer parte da campanha de engenharia social mais ampla, projetada para estabelecer credibilidade nas comunidades técnicas.</p>
<p>O incidente de rato da AI Waifu destaca um cenário emergente de ameaças, onde os cibercriminosos exploram o entusiasmo pela tecnologia de IA e confiança da comunidade para distribuir malware. </p>
<p>À medida que as ferramentas de IA se tornam mais integradas à computação diária, a conscientização da segurança deve evoluir para reconhecer quando “recursos inovadores” cruzam a linha em vulnerabilidades perigosas.</p>
<h2 id="h-indicators-of-compromise-iocs"><strong>Indicadores de compromisso (IOCs)</strong></h2>
<figure>
<table>
<thead>
<tr>
<th><strong>Tipo de indicador</strong></th>
<th><strong>Detalhes</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>Hashes de arquivo (SHA256)</strong></td>
<td>F64DBD93CB5032A2C89CFAF324340349BA4BD4B0EB0325D4786874667100260</td>
</tr>
<tr>
<td></td>
<td>7C3088F536484EAA91141FF0C10DA788240F8873AE53AB51E1C770CF66C04B45</td>
</tr>
<tr>
<td></td>
<td>CDA5ECF4DB9104B5AC92B998FF60128EDA69C2ACAB3860A045D8E747B6B5A577</td>
</tr>
<tr>
<td></td>
<td>6E0EA9D2FC8040CE22265A594D7DA0314987583C0F892C67E731947B97D3C673</td>
</tr>
<tr>
<td></td>
<td>11B07EF15945D2F1E7CF192E49CBF670824135562C9B87C20EBD630246AD1731</td>
</tr>
<tr>
<td></td>
<td>FDF461A6BD7E806B45303E3D7A76B5916A4529DF2F4DFF830238473C616AC6F9</td>
</tr>
<tr>
<td><strong>Nomes de arquivos</strong></td>
<td>js_windows_executor.exe</td>
</tr>
<tr>
<td></td>
<td>nulla_re.exe</td>
</tr>
<tr>
<td></td>
<td>android_server.py</td>
</tr>
<tr>
<td><strong>Indicadores de rede</strong></td>
<td>Tráfego HTTP para 127.0.0.1:9999 do processo do agente</td>
</tr>
<tr>
<td><strong>Persistência</strong></td>
<td>Chave do Registro: HKCU Software Microsoft Windows CurrentVersion Run</td>
</tr>
<tr>
<td></td>
<td>Nome do valor: FakeUpDater</td>
</tr>
<tr>
<td><strong>URLs do provedor de hospedagem</strong></td>
<td>https://gitgud.io/kazepsi/file-storage/-/raw/master/nulla/ctf/nulla_re.exe (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://gitgud.io/kazepsi/file-storage/-/raw/master/backends/js_windows_executor.exe (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://gitgud.io/kazepsi/file-storage/-/raw/master/backends/android_server.py (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://github.com/pioniczephyr/files/blob/main/ctf-puzzles.json (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://github.com/pioniczephyr/files/blob/main/code/js_windows_executor.exe (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://github.com/pioniczephyr/files/blob/main/code/android_server.py (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://github.com/kazepsi/file-storage/blob/main/code/code.rar (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://1drv.ms/u/c/6b4c603601e43e48/exwj4vbq2mhiqczx6weka-abfuwr_8setpkh5k_83czhqg?e=blzzl6 (já retire)</td>
</tr>
<tr>
<td></td>
<td>https://mega.nz/file/gfkrsaba#dmedscmvpvgf7ypum0h96ay4nbq7oe6sgzj9hq4rpk0 (já queda)</td>
</tr>
<tr>
<td></td>
<td>https://mega.nz/file/wz9xcrbc#0mxn1gwijb41bxbvqc-bf_avpomjdbo9jk04572oih8 (queda pendente)</td>
</tr>
</tbody>
</table>
</figure>
<p><strong>Encontre esta notícia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas!</strong></p>
</div></div>