Siber güvenlik firması Push Security'nin son raporuna göre, tehdit aktörleri ChatGPT'nin meşru alan adlarını kullanarak kimlik avı sayfaları oluşturuyor ve bu sayfalar aracılığıyla kötü amaçlı yazılım dağıtıyor. Saldırganlar, ChatGPT'nin kod oluşturma özelliğini istismar ederek markayı taklit eden sayfalar inşa ediyor. Bu sayfalar, kullanıcıları sahte bir indirme sayfasına yönlendiriyor ve burada kötü amaçlı bir çalıştırılabilir dosya indirmeleri sağlanıyor.
Push Security, bu saldırıları 'InstallFix' olarak adlandırıyor ve bunların daha önce belgeledikleri ClickFix ailesinin bir varyantı olduğunu belirtiyor. Şirket, 'Bu saldırılar, AI araçlarının komut satırı kurulum iş akışlarını normalleştirmesinden yararlanıyor. Kullanıcılar, meşru bir terminal komutu ile kötü niyetli bir komutu ayırt edecek deneyime sahip olmadıkları için bu tuzaklara kolayca düşüyor' açıklamasını yapıyor. Hedeflenen kullanıcıların, özellikle teknik bilgi düzeyi düşük olanlar olduğu vurgulanıyor.
Saldırının başlangıcında, kurbanlar kötü niyetli Google reklamları ve SEO zehirlenmesi yoluyla sahte sayfalara çekiliyor. Bu sayfalar, ChatGPT markasıyla tasarlanmış, tamamen işlevsel ve bağımsız web sayfaları. Sayfada, yüksek trafik nedeniyle bir hizmet kesintisi olduğu iddia ediliyor ve kullanıcılardan devam etmek için masaüstü uygulamasını indirmeleri isteniyor. Ancak bu, onları ChatGPT'yi taklit eden bir kimlik avı sitesine yönlendiriyor ve 'indir' butonuna tıkladıklarında kötü amaçlı yazılım yükleniyor.
Sonuç ve Değerlendirme
Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırıldığı için çoğu tarama aracı tarafından güvenilir kabul edildiğine dikkat çekiyor. Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının daha derinlemesine inceleme yapmaya çalıştığını algılarsa sayfayı göstermiyor. Rapor, 'Gerçek kullanıcılar bir tarayıcıda sahte indirme sayfasını görürken, otomatik tarayıcılar ve botlar zararsız bir içerik görüyor. Bu tür koşullu oluşturma, malvertising ekosisteminde iyi bilinen bir kaçınma tekniğidir ve güvenlik ekiplerinin ve tehdit istihbarat hizmetlerinin kötü niyetli altyapıyı tanımlamasını ve analiz etmesini zorlaştırır' diyor.
Bu saldırı, chatbot özelliklerini kötüye kullanan bir dizi benzer kampanyanın en son örneği. Push Security tarafından tespit edilen bir diğer varyantta ise paylaşılan sohbetler kullanılıyor. Bu özellik, kullanıcıların AI ile yaptıkları bir sohbet için benzersiz bir URL oluşturmasına olanak tanıyor. Saldırganlar, kullanıcıları aynı şekilde sahte sayfalara çekiyor, ancak bu kez 'Apple Support' tarafından yazılmış gibi görünen bir 'Claude Code on Mac' kurulum kılavuzu kılığında bir sohbet paylaşıyorlar. Bu kılavuz, kötü amaçlı yazılım indirip çalıştıran bir curl komutu içeriyor.
Push Security, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedef alındığını belirtiyor. Şirket, 'Hem ChatGPT hem de Claude varyantlarının Push müşteri ortamlarında görülmesi, aktif olarak farklı platformlar ve farklı sosyal mühendislik yaklaşımları deneyen bir kampanya veya en azından ortak bir oyun kitabı olduğunu gösteriyor' diyor. Amaç, hangi yöntemin daha iyi dönüşüm sağladığını bulmak. Push Security, ClickFix saldırılarının %80'inin artık e-posta yerine arama sonuçları üzerinden gerçekleştiğini ve malvertising'in genellikle kurban türüne, coğrafyaya ve diğer özelliklere göre sıkı bir şekilde hedeflendiğini uyarıyor.
Kaynak: infosecurity-magazine.com