ChatGPT Kullanıcılarını Hedef Alan Yeni Dolandırıcılık: Paylaşılan İçerikler ve Sahte İndirme Siteleri Yazılım

ChatGPT Kullanıcılarını Hedef Alan Yeni Dolandırıcılık: Paylaşılan İçerikler ve Sahte İndirme Siteleri

Siber saldırganlar, ChatGPT'nin paylaşılan sohbet ve kod oluşturma özelliklerini kötüye kullanarak kullanıcıları kötü amaçlı yazılım yüklemeye yönlend

Siber güvenlik firması Push Security tarafından yapılan uyarıya göre, tehdit aktörleri ChatGPT'nin meşru alan adlarını kullanarak sahte indirme sayfaları oluşturuyor ve bu sayfalardan kötü amaçlı yazılım dağıtıyor. Saldırganlar, ChatGPT'nin kod oluşturma özelliğini kullanarak markayı taklit eden sayfalar oluşturuyor ve kullanıcıları sahte bir indirme sayfasına yönlendiriyor. Bu indirme sayfası, kullanıcıların bilgisayarlarına kötü amaçlı bir yürütülebilir dosya yüklemelerini sağlıyor.

Push Security, bu saldırıları 'InstallFix' saldırıları olarak adlandırıyor ve bunların daha önce belgeledikleri ClickFix ailesinin bir varyantı olduğunu belirtiyor. Şirket, 'Bu saldırılar, AI araçlarının komut satırı kurulum iş akışlarını normalleştirmesinden yararlanıyor. Kullanıcılar, meşru bir terminal komutunu kötü niyetli olandan ayırt edecek deneyime sahip olmadıkları için bu tür saldırılara karşı savunmasız kalıyor' açıklamasında bulunuyor.

Saldırganlar, kurbanları sahte sayfalara çekmek için kötü amaçlı Google reklamları ve SEO zehirlenmesi kullanıyor. Sahte sayfaya tıklayan kullanıcılar, ChatGPT markasıyla tasarlanmış ve yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden bir sayfayla karşılaşıyor. Sayfa, kullanıcıları devam etmek için masaüstü uygulamasını indirmeye çağırıyor. Ancak bu işlem, kullanıcıları ChatGPT'yi taklit eden bir kimlik avı sitesine yönlendiriyor ve 'indir' butonuna tıkladıklarında kötü amaçlı yazılım yükleniyor.

Push Security, bu saldırının özellikle tehlikeli olmasının nedeninin, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması olduğunu vurguluyor. Bu URL, çoğu tarama aracı tarafından güvenilir kabul ediliyor. Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının derinlemesine inceleme yaptığını algılarsa sayfayı göstermiyor. Gerçek kullanıcılar sahte indirme sayfasını görürken, otomatik tarayıcılar ve botlar zararsız bir içerikle karşılaşıyor. Bu koşullu işleme tekniği, malvertising ekosisteminde yaygın olarak kullanılan bir kaçınma yöntemi olarak biliniyor.

Bu saldırı, chatbot özelliklerini kötüye kullanan bir dizi benzer kampanyanın en son örneği. Push Security tarafından tespit edilen başka bir varyantta, saldırganlar paylaşılan sohbetleri kullanıyor. Bu özellik, kullanıcıların AI ile yaptıkları sohbetler için benzersiz bir URL oluşturmasına olanak tanıyor. Kullanıcılar yine aynı yöntemle sahte sayfalara yönlendiriliyor, ancak bu kez 'Apple Support' tarafından 'Claude Code on Mac' kurulum kılavuzu olarak gizlenmiş bir paylaşılan sohbetle karşılaşıyorlar. Bu sohbet, kötü amaçlı yazılım indiren bir curl komutu içeriyor.

Push Security, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedef alındığını belirtiyor. Şirket, 'Hem ChatGPT hem de Claude varyantlarının müşteri ortamlarında görülmesi, aktif olarak farklı platformlar ve farklı sosyal mühendislik yaklaşımları deneyen bir kampanya olduğunu gösteriyor' diyor. Ayrıca, ClickFix saldırılarının artık e-posta yerine arama sonuçları yoluyla yayıldığı ve malvertisingin genellikle kurban türü, coğrafi konum ve diğer özelliklere göre sıkı bir şekilde hedeflendiği uyarısında bulunuyor.

Kaynak: infosecurity-magazine.com

Paylaş: