Η τελευταία καμπάνια απειλής, γνωστή ως “LLMShare”, έχει κεντρίσει την προσοχή των ειδικών ασφαλείας, καθώς εκμεταλλεύεται τη δημοτικότητα του ChatGPT για να παραπλανήσει χρήστες. Οι επιτήδειοι χρησιμοποιούν ψεύτικες διαφημίσεις που επικαλούνται την εμφάνιση του OpenAI, καθώς και νόμιμες πλατφόρμες, για να κατευθύνουν τους ανυποψίαστους χρήστες σε σελίδες που διανέμουν κακόβουλο λογισμικό, κρυμμένο πίσω από την εικόνα της εφαρμογής ChatGPT.
Push Security αποκάλυψε ότι οι επιθέσεις αυτές περιλαμβάνουν τη χρήση διαφημίσεων Google για να παρασύρουν χρήστες που αναζητούν τον δημοφιλή bot. Μέσω κακόβουλων σελίδων που φιλοξενούνται στον τομέα του chatgpt.com, οι απάτες αυτές επιτρέπουν τη διανομή κακόβουλου λογισμικού κάτω από την ομπρέλα ενός νόμιμου τομέα.
Όταν οι χρήστες κάνουν κλικ σε αυτές τις διαφημίσεις, ανακατευθύνονται σε μια σελίδα που μοιάζει με τη νόμιμη πλατφόρμα του ChatGPT. Ωστόσο, βρίσκουν μια ψευδή ειδοποίηση διακοπής λειτουργίας, η οποία τους προτρέπει να κατεβάσουν μια εφαρμογή για υπολογιστές για να συνεχίσουν τη χρήση. Το μήνυμα ψηφιακής καθυστέρησης λέει: «Βιώνουμε υψηλή κίνηση αυτή τη στιγμή», καθιστώντας την κατάσταση φαινομενικά επείγουσα.
«Ο ιστότοπός μας δεν είναι προσωρινά διαθέσιμος λόγω μεγάλου αριθμού χρηστών. Κατεβάστε την εφαρμογή μας για υπολογιστές για να συνεχίσετε.»
Αυτό το σενάριο είναι ιδιαίτερα επικίνδυνο, καθώς οι δράστες χρησιμοποιούν νομίμως ελεγχόμενες υποδομές για να παρουσιάσουν την ψεύτικη ειδοποίηση. Η σελίδα εμφανίζεται με έγκριση μέσω common links του ChatGPT, προσφέροντας στους επιτήδειους περισσότερη αξιοπιστία και μειώνοντας τις υποψίες των χρηστών.
Η Push Security διαπίστωσε ότι η ψεύτικη ειδοποίηση διακοπής λειτουργίας δημιουργείται μέσω προσαρμοσμένου HTML, το οποίο ενσωματώνει την όλη διαδικασία μέσω των δυνατοτήτων που προσφέρει το ChatGPT. Αν οι επισκέπτες επιχειρήσουν να κατεβάσουν την υπηρεσία, τους ανακατευθύνει προς έναν ιστότοπο που προσποιείται την επίσημη πύλη λήψης του OpenAI.
Οι ερευνητές έχουν διαπιστώσει ότι η σελίδα χρησιμοποιεί τεχνικές cloaking, ώστε να επιδεικνύει κακόβουλο περιεχόμενο μόνο σε συγκεκριμένα θύματα. Όταν οι πλατφόρμες ασφαλείας, όπως το URLScan, προσπαθούν να επισκεφτούν τη διεύθυνση URL, τους εμφανίζεται ανέγγιχτος περιεχόμενο, αποκαλύπτοντας την παράνομη δραστηριότητα μόνο σε στοχευμένα θύματα.
Αξιοσημείωτο είναι ότι οι κακόβουλοι ιστότοποι προσφέρουν εκδόσεις για macOS [VirusTotal] και Windows [VirusTotal], εγκαθιστώντας κακόβουλο λογισμικό στις συσκευές των θυμάτων. Παρόλο που οι στόχοι παραμένουν ασαφείς, έχει διαπιστωθεί ότι προηγούμενες καμπάνιες έχουν διαδώσει malware που ανακτά δεδομένα.
Λαμβάνοντας υπόψιν την ενεργοποίηση της κακόβουλης έκδοσης για Windows, η δοκιμή μέσω Any.Run εντόπισε ότι εκτελεί διάφορες εντολές για να καθορίσει αν ο υπολογιστής είναι νόμιμος ή αν αποτελεί εικονική μηχανή.
Επιπλέον, η Push Security παρατήρησε ότι οι επιθέσεις κατάχρησης του Claude Artifacts των Anthropic χρησιμοποιούνταν για τη φιλοξενία παρόμοιων παγίδων ClickFix που αποσκοπούν στη παραπλάνηση των χρηστών.
Οι δυνατότητες των AI πλατφορμών εκμεταλλεύονται ολοένα και περισσότερο για τη διανομή κακόβουλου λογισμικού. Ορισμένες πρόσφατες επιθέσεις έχουν επιπλέον χρησιμοποιήσει διαφημίσεις Google για να κατευθύνουν ανυποψίαστους χρήστες σε κοινόχρηστες συνομιλίες που περιέχουν κακόβουλες οδηγίες.
Τα αυτοματοποιημένα εργαλεία διείσδυσης προσφέρουν πραγματική αξία, αλλά κατασκευάστηκαν για να απαντήσουν σε μια ερώτηση: μπορεί ένας εισβολέας να μετακινηθεί μέσω του δικτύου; Δεν σχεδιάστηκαν για να διασφαλίσουν ότι οι έλεγχοι σας είναι επαρκείς ή ότι οι παραμετροποιήσεις του cloud είναι σωστές.
Αυτός ο οδηγός καλύπτει τις 6 περιοχές που πρέπει πραγματικά να επικυρώσετε.
