Siber güvenlik şirketi Push Security, tehdit aktörlerinin ChatGPT'nin kod oluşturma özelliğini kötüye kullanarak marka taklidi yapan sayfalar oluşturduğunu ve bu sayfalar aracılığıyla kötü amaçlı yazılım dağıttığını bildirdi. Saldırganlar, kurbanları sahte bir indirme sayfasına yönlendirerek “InstallFix” adı verilen bir saldırı varyantı kullanıyor. Bu yöntem, kullanıcıların komut satırı işlemlerine olan güvenini istismar ediyor.
Kurbanlar, kötü amaçlı Google reklamları ve SEO zehirlenmesi yoluyla sahte sayfalara çekiliyor. Bu sayfalar, ChatGPT markasıyla tasarlanmış ve yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia ediyor. Ziyaretçilere masaüstü uygulamasını indirmeleri söyleniyor; ancak tıkladıklarında, aslında kötü amaçlı yazılım yükleyen bir kimlik avı sitesine yönlendiriliyorlar.
Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırıldığı için birçok tarama aracı tarafından güvenilir kabul edildiğini vurguluyor. Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının inceleme yaptığını algılarsa içeriği göstermiyor. Bu koşullu oluşturma tekniği, malvertising ekosisteminde yaygın bir kaçınma yöntemi olarak biliniyor.
Nasıl Önlem Alınmalı?
Bu kampanya, sohbet robotu özelliklerini kötüye kullanan bir dizi saldırının son örneği. Push Security, ayrıca paylaşılan sohbet bağlantılarının kullanıldığı benzer bir varyant tespit etti. Bu varyantta, kurbanlara "Claude Code on Mac" kurulum kılavuzu gibi görünen bir sohbet sunuluyor ve komut çalıştırmaları isteniyor. Şirket, ChatGPT ve Claude kullanıcılarının hedef alındığını ve saldırıların e-posta yerine arama sonuçları üzerinden yayıldığını belirtiyor.