Siber güvenlik şirketi Push Security, tehdit aktörlerinin ChatGPT'nin meşru alan adlarını kullanarak kimlik avı sayfaları oluşturduğunu ve bu sayfalar aracılığıyla kötü amaçlı yazılım yaydığını açıkladı. Araştırmacılara göre saldırganlar, ChatGPT'nin kod oluşturma özelliğini kötüye kullanarak markayı taklit eden sayfalar inşa ediyor. Bu sayfalar, kurbanları sahte bir indirme sayfasına yönlendiriyor ve burada kötü amaçlı bir çalıştırılabilir dosya indirmeleri sağlanıyor. Push Security, bu saldırıları 'InstallFix' olarak adlandırıyor ve bunların daha önce belgeledikleri ClickFix ailesinin bir varyantı olduğunu belirtiyor.
Saldırı yöntemi, yapay zeka araçlarının komut satırı kurulum iş akışlarını normalleştirmesinden yararlanıyor. Push Security raporunda, 'Bu saldırılar, yapay zeka araçlarının, meşru bir terminal komutunu kötü niyetli olandan ayırt edecek deneyime sahip olmayan kullanıcılar için komut satırı kurulum iş akışlarını normalleştirmesi gerçeğini sömürüyor' ifadelerine yer verildi. Saldırganların hangi tür kötü amaçlı yazılım yaydığı henüz netlik kazanmasa da, bilgi çalan (infostealer) yazılımların kullanıldığından şüpheleniliyor.
Kurbanlar, sahte sayfalara başlangıçta kötü niyetli Google reklamları ve SEO zehirleme (SEO poisoning) yoluyla çekiliyor. Tıklama sonrası kullanıcılar, ChatGPT markasıyla tasarlanmış, yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden tamamen tasarlanmış, bağımsız bir web sayfasına yönlendiriliyor. Sayfa, ziyaretçileri devam etmek için uygulamanın masaüstü sürümünü indirmeye çağırıyor. Ancak bu işlem, kullanıcıları ChatGPT'yi taklit eden bir kimlik avı sitesine götürüyor ve 'indir' butonuna basıldığında kötü amaçlı yazılım yükleniyor.
Detaylar ve Etkileri
Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması nedeniyle çoğu tarama aracı tarafından güvenilir kabul edildiğini vurguluyor. Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının daha derinlemesine inceleme yapmaya çalıştığını algılarsa sayfayı görüntülemiyor. Raporda, 'Gerçek kullanıcılar tarayıcıda sahte indirme sayfasını görürken, otomatik tarayıcılar ve botlar zararsız bir şey görüyor. Bu tür koşullu oluşturma, reklam yazılımı ekosisteminde iyi bilinen bir kaçınma tekniğidir ve güvenlik ekiplerinin ve tehdit istihbarat hizmetlerinin kötü amaçlı altyapıyı tanımlamasını ve analiz etmesini zorlaştırıyor' denildi.
Bu saldırı, sohbet botu özelliklerini kötüye kullanan bir dizi benzer kampanyanın en sonuncusu. Push Security tarafından tespit edilen bir başka varyantta, saldırganlar paylaşımlı sohbetleri kullanıyor. Bu özellik, kullanıcıların yapay zeka ile yaptıkları bir sohbet için benzersiz bir URL oluşturmasına olanak tanıyor. Saldırganlar, kullanıcıları yukarıdaki saldırı akışına benzer şekilde sayfalara çekiyor, ancak bu kez kullanıcılara 'Apple Support' tarafından atfedilen ve 'Claude Code on Mac' kurulum kılavuzu olarak gizlenmiş, kötü amaçlı yazılım indiren bir curl komutu içeren paylaşımlı bir sohbet sunuluyor.
Push Security, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedef alındığını gözlemledi. Şirket, 'Hem ChatGPT hem de Claude varyantlarının Push müşteri ortamlarında görünmesi, aktif olarak farklı platformlar ve farklı sosyal mühendislik yaklaşımlarıyla deneyler yapan bir kampanyayı veya en azından paylaşılan bir oyun kitabını gösteriyor' yorumunda bulundu. Ayrıca, ClickFix saldırılarının %80'inin artık e-posta yerine arama sonuçları yoluyla gerçekleştiği ve reklam yazılımlarının genellikle kurban türüne, coğrafyaya ve diğer özelliklere göre sıkı bir şekilde hedeflendiği belirtildi.
Kaynak: infosecurity-magazine.com