ChatGPT Kullanıcıları Tehlikede: Sahte Paylaşımlarla Yeni Phishing Kampanyası Yazılım

ChatGPT Kullanıcıları Tehlikede: Sahte Paylaşımlarla Yeni Phishing Kampanyası

Saldırganlar, ChatGPT'nin ortak kod paylaşma özelliğini kullanarak sahte sayfalar oluşturuyor ve kullanıcıları kötü amaçlı yazılım yüklemeye ikna ediy

Siber güvenlik firması Push Security, tehdit aktörlerinin ChatGPT'nin kod oluşturma özelliğini istismar ederek markayı taklit eden sayfalar hazırladığını ve bu sayfalar aracılığıyla zararlı yazılım dağıttığını açıkladı. Saldırganlar, kullanıcıları sahte bir indirme sayfasına yönlendirerek kötü amaçlı bir çalıştırılabilir dosya indirmeye ikna ediyor. Bu yöntem, 'InstallFix' saldırıları olarak adlandırılan ve daha önce belgelenen ClickFix ailesinin bir varyantı olarak tanımlanıyor. Push Security, bu tür saldırılarda yapay zeka araçlarının komut satırı iş akışlarını normalleştirmesinin, kullanıcıların meşru terminal komutlarını kötü niyetli olanlardan ayırt etmesini zorlaştırdığına dikkat çekiyor.

Kurbanlar, kötü niyetli Google reklamları ve SEO zehirlenmesi yoluyla sahte sayfalara yönlendiriliyor. İlk sayfa, ChatGPT markasıyla tasarlanmış ve yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden bir sayfa. Ziyaretçiler, devam etmek için masaüstü uygulamasını indirmeye teşvik ediliyor. Ancak 'indir' butonuna tıklayan kullanıcılar, aslında ChatGPT'yi taklit eden bir kimlik avı sitesine yönlendiriliyor ve burada kötü amaçlı yazılım yükleniyor. Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması nedeniyle çoğu tarama aracı tarafından güvenilir kabul edildiğini vurguluyor.

Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının derinlemesine inceleme yapmaya çalıştığını algılarsa yüklenmiyor. Rapor, 'Gerçek kullanıcılar tarayıcıda sahte indirme sayfasını görürken, otomatik tarayıcılar ve botlar zararsız bir içerik görüyor' ifadesine yer veriyor. Bu tür koşullu işleme, malvertising ekosisteminde iyi bilinen bir kaçınma tekniği olarak tanımlanıyor. Push Security, bu kampanyanın ChatGPT ve Claude kullanıcılarını hedef alan varyantlarını da tespit etti. Her iki varyantta da kullanıcılar, sahte bir kurulum kılavuzu içeren paylaşılan sohbet sayfalarına yönlendiriliyor ve bu sayfalar, zararlı bir curl komutu çalıştırarak kötü amaçlı yazılım indiriyor.

Push Security, ClickFix saldırılarının artık e-posta yerine arama sonuçları aracılığıyla gerçekleştiğini ve malvertisingin genellikle kurban türü, coğrafya ve diğer özelliklere göre sıkı bir şekilde hedeflendiğini belirtiyor. Şirket, bu tür saldırılara karşı kullanıcıların dikkatli olması ve yalnızca resmi kaynaklardan indirme yapması gerektiğini vurguluyor. Güvenlik uzmanları, özellikle yapay zeka araçlarıyla ilgili reklam ve arama sonuçlarına karşı şüpheci yaklaşılmasını ve bilinmeyen kaynaklardan gelen komut satırı talimatlarının asla çalıştırılmamasını tavsiye ediyor.

Paylaş: