ChatGPT Kullanıcılarına Yönelik Yeni Kimlik Avı Kampanyası: Meşru Alan Adları Kötüye Kullanılıyor Windows

ChatGPT Kullanıcılarına Yönelik Yeni Kimlik Avı Kampanyası: Meşru Alan Adları Kötüye Kullanılıyor

Saldırganlar, ChatGPT'nin meşru alan adlarını kullanarak sahte sayfalar oluşturuyor. Kötü amaçlı reklamlar ve SEO zehirleme yoluyla kullanıcıları hede

Siber güvenlik firması Push Security'nin son raporuna göre, tehdit aktörleri ChatGPT'nin meşru alan adlarını kullanarak kimlik avı kampanyaları yürütüyor. Saldırganlar, ChatGPT'nin kod oluşturma özelliğini istismar ederek sahte sayfalar oluşturuyor ve bu sayfalar aracılığıyla kullanıcıları kötü amaçlı yazılım indirmeye yönlendiriyor. Bu yöntem, özellikle AI araçlarının komut satırı iş akışlarını normalleştirmesinden yararlanıyor. Kullanıcılar, meşru bir terminal komutu ile kötü niyetli bir komutu ayırt edecek deneyime sahip olmadığı için bu tür saldırılara karşı savunmasız kalıyor.

Saldırının ilk aşamasında, kullanıcılar kötü amaçlı Google reklamları ve SEO zehirleme (SEO poisoning) yoluyla sahte sayfalara yönlendiriliyor. Bu sayfalar, ChatGPT markasıyla tamamen tasarlanmış, kendi kendine yeten web sayfaları olarak karşımıza çıkıyor. Sayfada, yoğun trafik nedeniyle bir hizmet kesintisi olduğu belirtilerek kullanıcıların masaüstü uygulamasını indirmesi isteniyor. Ancak indirme butonuna tıklandığında, kullanıcılar ChatGPT'yi taklit eden bir kimlik avı sitesine yönlendiriliyor ve burada kötü amaçlı yazılım bulaştırılıyor.

Push Security, bu saldırıların 'InstallFix' veya 'ClickFix' ailesinin bir varyantı olduğunu belirtiyor. Bu tür saldırılar, kullanıcıların güvenlik araçları tarafından güvenilir kabul edilen chatgpt.com/s/ URL'lerini kullanması nedeniyle daha da tehlikeli hale geliyor. Ayrıca, ikinci aşamadaki kimlik avı sayfası, güvenlik araştırmacılarının inceleme yaptığını algılarsa içeriği göstermiyor. Bu koşullu oluşturma tekniği, otomatik tarayıcıların ve botların sayfayı zararsız görmesini sağlarken, gerçek kullanıcılar sahte indirme sayfasıyla karşılaşıyor. Bu yöntem, güvenlik ekiplerinin ve tehdit istihbarat servislerinin kötü niyetli altyapıyı tespit etmesini zorlaştırıyor.

Nasıl Önlem Alınmalı?

Benzer bir kampanya, Push Security tarafından Claude AI platformunda da tespit edildi. Saldırganlar, paylaşılan sohbet özelliğini kullanarak 'Claude Code on Mac' kurulum kılavuzu görünümünde sahte bir sohbet oluşturuyor. 'Apple Support' olarak etiketlenen bu kılavuz, kullanıcıları curl komutu ile kötü amaçlı yazılım indirmeye yönlendiriyor. Hem ChatGPT hem de Claude kullanıcılarının hedef alınması, saldırganların farklı platformlarda ve sosyal mühendislik yaklaşımlarında denemeler yaptığını gösteriyor. Bu kampanyanın, hangi yöntemin daha etkili olduğunu test etmek için aktif olarak geliştirildiği düşünülüyor.

Push Security'nin verilerine göre, ClickFix saldırılarının %80'i artık e-posta yerine arama sonuçları üzerinden gerçekleşiyor. Kötü amaçlı reklamcılık (malvertising) genellikle hedef kitle türüne, coğrafyaya ve diğer özelliklere göre daraltılıyor. Bu durum, kullanıcıların arama motorları üzerinden karşılaştıkları reklamlara karşı daha dikkatli olması gerektiğini ortaya koyuyor. Özellikle popüler AI araçlarının adını taşıyan reklamlara tıklamadan önce URL'yi kontrol etmek büyük önem taşıyor.

Uzmanların Görüşleri

Kullanıcıların bu tür saldırılardan korunması için birkaç temel önlem alması gerekiyor. İlk olarak, resmi uygulama mağazaları dışındaki kaynaklardan yazılım indirmekten kaçınılmalı. İkinci olarak, arama motorlarında çıkan reklamlara değil, organik sonuçlara tıklanmalı. Üçüncü olarak, ChatGPT gibi popüler hizmetlerin destek sayfalarının resmi kanallardan doğrulanması önemli. Ayrıca, terminal komutlarını çalıştırmadan önce komutun ne yaptığını anlamak ve güvenilir kaynaklardan geldiğinden emin olmak gerekiyor. Kurumsal kullanıcılar için ise, ağ trafiğini izleyen güvenlik çözümleri ve çalışan eğitimleri bu tür saldırıların önlenmesinde kritik rol oynuyor.

Kaynak: infosecurity-magazine.com

Paylaş: