2022 novemberében indította el az OpenAI a ChatGPT-t, amelynek lenyűgöző képességeire a fenyegető szereplők (Threat Actors – TA) is felfigyeltek. A Cyble Research and Intelligence Labs (CRIL) több olyan esetet is azonosított, amikor a támadók a ChatGPT népszerűségét kihasználva rosszindulatú szoftvereket terjesztettek és egyéb kibertámadásokat hajtottak végre.
Közösségi média oldal
A CRIL felhívta a figyelmet egy nem hivatalos ChatGPT közösségi média oldalra, amelyen különböző bejegyzések találhatók a ChatGPT-ről, valamint más OpenAI-eszközökről.
Közelebbről megvizsgálva azonban kiderült, hogy az oldal egyes bejegyzései olyan linkeket tartalmaznak, amelyek az URL-eltérítés (typosquatting) kihasználásával ChatGPT-t megszemélyesítő adathalász weboldalra vezetik a felhasználókat, és arra késztetik őket, hogy rosszindulatú fájlokat töltsenek le a gépükre.
Amikor a felhasználó az adathalász weboldalon rákattint a “DOWNLOAD FOR WINDOWS” gombra, a “ChatGPT-OpenAI-Pro-Full-13467676745403.gz” nevű tömörített fájl automatikusan letöltődik a “hxxps://rebrand.ly/qaltfnuOpenAI” URL-címről.
Ez a tömörített fájl egy “ChatGPT-OpenAI-Pro-Full-13467674545403.exe” nevű futtatható fájlt tartalmaz, ami egy információlopó káros kód. A rosszindulatú szoftver a futtatás után az áldozat tudta nélkül gyűjti az érzékeny adatokat.
Adathalász kampány
A CRIL alaposan kivizsgálta az OpenAI-hoz és a ChatGPT-hez kapcsolódó különböző URL-eltérítéses domaineket, és megállapították, hogy ezek az adathalász oldalak több hírhedt rosszindulatú kártevő családot is terjesztettek, köztük a Lummát és az Aurora Stealert.
A TA klónozta a ChatGPT weboldalát, és a “TRY CHATGPT” gomb linkjét rosszindulatú, Lumma Stealert letöltő linkekre cserélte.
Adathalász oldal bankkártya adatok lopásához
Az egyik gyakori taktika a ChatGPT-vel kapcsolatos hamis fizetési oldalak létrehozása, amelynek célja az áldozatok pénzének és hitelkártyaadatainak ellopása.
Android malware
A CRIL több, mint 50 hamis és rosszindulatú alkalmazást azonosított, amelyek a ChatGPT nevét és ikonját felhasználva különböző nem kívánt programokat terjesztenek.
Ez a konkrét malware a felhasználók tudtán kívül, a “+4761597” számra küldött SMS-sel előfizet különböző prémium szolgáltatásokra.
ChatGPT-nek álcázott Spynote malware
A Spynote malware érzékeny adatokat, például hívásnaplókat, névjegyeket, SMS-eket, médiafájlokat és egyéb adatokat képes ellopni a fertőzött eszközről.
Indicators of Compromise (IOC-k)
Ajánlásaink
- Csak hivatalos alkalmazásboltokból, például a Google Play Store-ból vagy az iOS App Store-ból töltsön le és telepítsen szoftvereket!
- Eszközein használjon neves vírusirtót!
- Tartózkodjon a nem megbízható linkek és e-mail mellékletek megnyitásától!
- Oktassa az alkalmazottakat az olyan fenyegetésekkel szembeni védelemre, mint az adathalászat/megbízhatatlan URL-címek!
- Vezessen be adatvesztés-megelőzési (DLP) megoldásokat az alkalmazottak rendszerein!
- Használjon erős jelszavakat, és ahol csak lehetséges, érvényesítse a többfaktoros hitelesítést!
- Lehetőség szerint engedélyezze a biometrikus biztonsági funkciókat, például az ujjlenyomat- vagy arcfelismerést a mobileszköz feloldásához!
- Óvakodjon az SMS-ben vagy e-mail-ben kapott linkek megnyitásától!
- Győződjön meg arról, hogy a Google Play Protect engedélyezve van az Android-eszközökön!
- Tartsa naprakészen eszközeit, az operációs rendszereket és alkalmazásokat!
