Μια εξελιγμένη καμπάνια phishing στοχεύει χρήστες iPhone υποδυόμενοι δύο από τις πιο αξιόπιστες μάρκες τεχνητής νοημοσύνης στον κόσμο – το ChatGPT του OpenAI και το Gemini της Google.
Οι εισβολείς στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που έχουν σχεδιαστεί για να παρασύρουν τους παραλήπτες να κατεβάσουν ψεύτικες εφαρμογές από το επίσημο App Store της Apple.
Αυτό που κάνει αυτή τη λειτουργία να ξεχωρίζει είναι ότι οι κακόβουλες εφαρμογές δεν είναι μεταμφιεσμένες ως τυχαίες βοηθητικές εφαρμογές — είναι τυλιγμένες στην αξιοπιστία γνωστών πλατφορμών τεχνητής νοημοσύνης με τις οποίες αλληλεπιδρούν εκατομμύρια επαγγελματίες καθημερινά.
Μόλις ένα θύμα κατεβάσει μία από αυτές τις εφαρμογές, οδηγείται σε μια παγίδα συλλογής διαπιστευτηρίων που συλλέγει σιωπηλά τις πληροφορίες σύνδεσής του στο Facebook.
Η επίθεση ξεκινά με ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που έχει μορφοποιηθεί ώστε να μοιάζει με νόμιμη προσέγγιση από το ChatGPT ή το Gemini.
Αυτά τα μηνύματα είναι προσεκτικά γραμμένα για να απευθύνονται σε επιχειρησιακούς χρήστες, επαγγελματίες του μάρκετινγκ και επαγγελματίες των μέσων κοινωνικής δικτύωσης, παρουσιάζοντας τις ψεύτικες εφαρμογές ως επιχειρηματικά εργαλεία διαχείρισης διαφημίσεων ή τεχνητής νοημοσύνης.
Το email περιέχει έναν άμεσο σύνδεσμο που οδηγεί τον παραλήπτη σε μια καταχώριση στο App Store της Apple, μια πλατφόρμα που εμπιστεύονται οι περισσότεροι χρήστες από προεπιλογή.
Αυτή η εμπιστοσύνη είναι κεντρική για την αποτελεσματικότητα της καμπάνιας, καθώς πολύ λίγοι χρήστες σταματούν να αμφισβητούν μια εφαρμογή που φαίνεται να είναι σωστά καταχωρισμένη σε μια επίσημη πλατφόρμα διανομής.
Οι αναλυτές της SpiderLabs εντόπισαν δύο δόλιες καταχωρίσεις στο Apple App Store κατά τη διάρκεια της έρευνάς τους.
Το πρώτο ήταν το GeminiAI Advertising με το αναγνωριστικό του App Store id6759005662και το δεύτερο ήταν το Ads GPT που έφερε το αναγνωριστικό id6759514534και οι δύο φιλοξενούνται στη βιτρίνα του App Store της Αυστραλίας.
Κατά την εκκίνηση οποιασδήποτε εφαρμογής, οι χρήστες δεν παρουσιάζουν καμία πραγματική λειτουργικότητα AI ή επιχειρηματικά χαρακτηριστικά όπως διαφημίζονται.
Αντίθετα, η εφαρμογή εμφανίζει αμέσως μια ψεύτικη οθόνη σύνδεσης στο Facebook και προτρέπει τον χρήστη να εισαγάγει τα διαπιστευτήριά του, υποτίθεται ότι θα συνδέσει έναν λογαριασμό για διαφημιστικούς σκοπούς.
Αυτή η καμπάνια σηματοδοτεί μια σημαντική αλλαγή τακτικής μεταξύ των παραγόντων απειλής συλλογής διαπιστευτηρίων. Αντί να κατασκευάζουν ψεύτικους ιστότοπους ή να βασίζονται σε κακόβουλα συνημμένα email, οι εισβολείς εδώ επέλεξαν να διεισδύσουν σε μια επίσημη αγορά εφαρμογών για να προσθέσουν ένα επίπεδο νομιμότητας στη λειτουργία τους.
Το App Store της Apple θεωρείται ευρέως ως ένα αυστηρά ελεγχόμενο περιβάλλον, γεγονός που το καθιστά ισχυρό σήμα εμπιστοσύνης για ανυποψίαστους χρήστες.
Το γεγονός ότι αυτές οι κακόβουλες εφαρμογές μπόρεσαν να εμφανιστούν εκεί, έστω και για λίγο, υπογραμμίζει την πρόκληση του ελέγχου κάθε εφαρμογής που διέρχεται από πλατφόρμες ψηφιακής διανομής μεγάλης κλίμακας.
Πώς ξετυλίγεται η κλοπή διαπιστευτηρίων
Η επιτυχία αυτής της καμπάνιας εξαρτάται από μια προσεκτικά οργανωμένη αλυσίδα εμπιστοσύνης που ξεκινά πολύ πριν ο χρήστης ανοίξει ποτέ την ψεύτικη εφαρμογή.
Ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχεται από μια αναγνωρισμένη πλατφόρμα AI δημιουργεί την προσδοκία ότι το συνδεδεμένο εργαλείο είναι και νόμιμο και χρήσιμο.
Μέχρι τη στιγμή που το θύμα πλοηγηθεί στο Το App Store και εγκαθιστά την εφαρμογή, έχουν περάσει από πολλά σημεία ελέγχου αξιοπιστίας, καθένα από τα οποία ενισχύει την πεποίθηση ότι έχουν να κάνουν με ένα πραγματικό προϊόν.
Μόλις εγκατασταθεί και εκκινηθεί η εφαρμογή, παρακάμπτει οποιαδήποτε γνήσια διαδικασία ενσωμάτωσης και εμφανίζει μια οθόνη σύνδεσης στο Facebook σχεδόν αμέσως.
.webp.jpeg)
Αυτή η διεπαφή αντικατοπτρίζει στενά τον εγγενή σχεδιασμό σύνδεσης του Facebook, χωρίς να δίνει καμία προφανή ένδειξη στον μέσο χρήστη ότι κάτι δεν πάει καλά. Τα διαπιστευτήρια που υποβάλλονται μέσω αυτής της ψεύτικης φόρμας καταγράφονται σε πραγματικό χρόνο και αποστέλλονται στην υποδομή που ελέγχεται από τους εισβολείς.
Τα κλεμμένα δεδομένα παρέχουν στους παράγοντες απειλών άμεση πρόσβαση σε προσωπικά προφίλ στο Facebook, λογαριασμούς επαγγελματικών διαφημίσεων και σελίδες που συνδέονται με τον παραβιασμένο λογαριασμό – καθιστώντας την ανταμοιβή σημαντική για τους εισβολείς με οικονομικά κίνητρα.
Χρήστες που λαμβάνουν ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που προωθούν Οι εφαρμογές που υποστηρίζονται από AI θα πρέπει να επαληθεύουν την πραγματική διεύθυνση email του αποστολέα αντί να βασίζονται μόνο στο εμφανιζόμενο όνομα.
Πριν από τη λήψη οποιασδήποτε εφαρμογής, ο διασταυρούμενος έλεγχος του ονόματος προγραμματιστή, η ανάγνωση κριτικών χρηστών και η σάρωση της περιγραφής για ασυνέπειες μπορεί να αποκαλύψει σημάδια απάτης.
Η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων στο Facebook και σε άλλους λογαριασμούς μέσων κοινωνικής δικτύωσης παρέχει ουσιαστική προστασία ακόμα και όταν έχει κλαπεί ένας κωδικός πρόσβασης.
Οι ομάδες ασφαλείας εντός των οργανισμών ενθαρρύνονται επίσης να κοινοποιούν την ευαισθητοποίηση σχετικά με αυτόν τον τύπο καμπάνιας και θα πρέπει να υπενθυμίζεται στους υπαλλήλους να αναφέρουν οποιοδήποτε ύποπτο μήνυμα ηλεκτρονικού ταχυδρομείου που προωθεί τις λήψεις λογισμικού, ανεξάρτητα από το πόσο οικεία μπορεί να φαίνεται η πλασματική επωνυμία.
IoC
| Τύπος | Δείκτης | Συμφραζόμενα |
|---|---|---|
| URL κακόβουλης εφαρμογής | hxxps[://]apps[.]apple[.]com/au/app/geminiai-advertising/id6759005662 |
Fake GeminiAI Advertising εφαρμογή στο AU App Store |
| URL κακόβουλης εφαρμογής | hxxps[://]apps[.]apple[.]com/au/app/ads-gpt/id6759514534 |
Εφαρμογή Fake Ads GPT στο AU App Store |
