האקרים משתמשים בפרסומות של פייסבוק ובדפי פייסבוק שחטפו מבעליהם, כדי לקדם שירותי בינה מלאכותית מזויפים של MidJourney, SORA ו- ChatGPT-5 של OpenAI ו- DALL-E, כדי להדביק משתמשים תמימים בנוזקות לגניבת סיסמאות. ההאקרים מפרסמים בחשבונות אלו תמונות שנוצרו על ידי AI ומידע קשור אחר, כדי לגרום לדפים להיראות לגיטימיים. עם זאת, הפוסטים בדפים אלו מקדמים לעתים קרובות גישה מוגבלת בזמן לשירותי בינה מלאכותית ומרמה את המשתמשים להוריד נוזקות המדביקות את מחשבי Windows בתוכנות זדוניות גונבות מידע, כמו Rilide, Vidar, IceRAT ונובה.
נוזקת גניבת מידע מתמקדת בגניבת נתונים מהדפדפן של הקורבן, כולל אישורי גישה מאוחסנים (שמות משתמשים וסיסמאות), קבצי Cookie, מידע על ארנקי מטבעות קריפטוגרפיים, נתוני השלמת פרטים אוטומטיים ופרטי כרטיסי אשראי. מידע זה נמכר לאחר מכן בשווקי רשת האינטרנט האפלה, או משמשים את ההאקרים כדי לפרוץ את החשבונות המקוונים של היעד כדי לקדם הונאות נוספות.
טווח ההגעה של שיטה זו הינו רחב מאד מכיוון שהעניין של אנשים ב- AI גבוה מאד כרגע. ההתפתחויות בתחום כל כך מהירות שלא קל לאנשים לעמוד בקצב ולהבחין בין פרסומים לגיטימיים לבן פרסומים זדוניים. באחד המקרים שראו חוקרי סייבר ב- Bitdefender, עמוד פייסבוק זדוני המתחזה ל- Midjourney צבר 1.2 מיליון עוקבים ונשאר פעיל כמעט שנה לפני שהוסר. הדף לא נוצר מאפס: ההאקרים חטפו פרופיל קיים ביוני 2023 והמירו אותו לדף Midjourney מזויף. פייסבוק סגרה את העמוד ב- 8 במרץ 2024. פוסטים רבים רימו אנשים להוריד את נוזקות גניבת המידע על ידי קידום גרסת שולחן עבודה (לא קיימת) של הכלי. כמה פוסטים הדגישו את השחרור של V6, שעדיין לא יצא רשמית (הגרסה האחרונה היא V5). במקרים אחרים קידמו המודעות הזדוניות הזדמנויות ליצור אמנות NFT ולהפיק רווחים מהיצירות שלהן.
כפי שניתן ללמוד מפרמטרי המיקוד של מודעות פייסבוק בספריית Meta Ad Library, גילו החוקרים שהמודעות ממוקדות לדמוגרפיה של גברים בגילאי 25 עד 55 באירופה בעיקר גרמניה, פולין, איטליה, צרפת, בלגיה, ספרד, הולנד, רומניה ושוודיה.
במקום להשתמש בקישורי Dropbox ו- Google Drive כדי לארח את הנוזקות, הקימו ההאקרים אתרים מרובים ששיבטו את דף הנחיתה הרשמי של Midjourney והטעו משתמשים להוריד את מה שהם חשבו שהיא הגרסה האחרונה של הכלי ליצירת אמנות. במקום זאת, קיבלו המשתמשים את Rilide v4, המתחזה לתוסף של Google Translate לדפדפן האינטרנט שלהם ומסתיר למעשה את הנוזקה כשהיא שואבת קבצי Cookie של פייסבוק ונתונים אחרים ברקע.
לאחר שעמוד זה הוסר, השיקו ההאקרים עמוד חדש שעדיין פעיל עם למעלה מ- 600,000 חברים, אשר מקדם אתר Midjourney מזויף המפיץ נוזקות. הצלחתה של שיטה זו מדגישה את התחכום של אסטרטגיות האקרים מבוססות מדיה חברתית וכן, את החשיבות של ערנות בעת עיסוק בפרסומות מקוונות. ההיקף העצום של רשתות מדיה חברתית כמו פייסבוק, יחד עם חוסר ערנות של המשתמשים, מאפשרים לפגיעויות סייבר אלו להימשך תקופות ארוכות, מה שמקל על התפשטות בלתי מבוקרת של נוזקות הגורמות לנזקים רבים מהידבקויות בתוכנות זדוניות.
