Siber güvenlik araştırmacıları, tehdit aktörlerinin ChatGPT'nin meşru alan adlarında barındırılan kimlik avı sayfaları aracılığıyla kötü amaçlı yazılım dağıttığını ortaya çıkardı. Push Security tarafından yapılan uyarıya göre, bilgisayar korsanları ChatGPT'nin kod oluşturma özelliğini suistimal ederek markayı taklit eden sayfalar oluşturuyor. Bu sayfalar, kurbanları kötü amaçlı bir yürütülebilir dosya indirmeye yönlendiren sahte bir indirme sayfasına yönlendiriyor. Push Security, bu saldırıları 'InstallFix' saldırıları olarak adlandırıyor ve bunların daha önce belgeledikleri ClickFix ailesinin bir varyantı olduğunu belirtiyor. Şirket, AI araçlarının komut satırı kurulum iş akışlarını normalleştirdiğini ve deneyimsiz kullanıcıların meşru bir terminal komutunu kötü amaçlı olandan ayırt etmekte zorlandığını vurguluyor.
Saldırı zinciri, kullanıcıların kötü niyetli Google reklamları ve SEO zehirlenmesi yoluyla sahte sayfalara çekilmesiyle başlıyor. Tıklama sonrası kullanıcılar, ChatGPT markasıyla tasarlanmış ve yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden tam donanımlı, kendi kendine yeten bir web sayfasına yönlendiriliyor. Sayfa, devam etmek için masaüstü sürümünü indirmeye teşvik ediyor. Ancak bu adım, kullanıcıları ChatGPT'yi taklit eden bir kimlik avı sitesine götürüyor ve 'indir' düğmesine basıldığında kötü amaçlı yazılım yükleniyor. Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması nedeniyle çoğu tarama aracı tarafından güvenilir kabul edildiğini belirtiyor.
İkinci kimlik avı sayfası, güvenlik araştırmacılarının daha derinlemesine inceleme yapmaya çalıştığını algılarsa işlemez hale geliyor. Rapor, gerçek kullanıcıların tarayıcıda sahte indirme sayfasını gördüğünü, otomatik tarayıcıların ve botların ise zararsız bir içerikle karşılaştığını belirtiyor. Bu tür koşullu işleme, reklam yazılımı ekosisteminde iyi bilinen bir kaçınma tekniğidir ve güvenlik ekiplerinin ve tehdit istihbarat hizmetlerinin kötü amaçlı altyapıyı tespit etmesini ve analiz etmesini zorlaştırır. Bu teknik, saldırganların faaliyetlerini gizlemesine olanak tanır.
Bu kampanya, sohbet robotu özelliklerini kötüye kullanan bir dizi benzer saldırının en son örneğidir. Push Security tarafından tespit edilen başka bir varyant, kullanıcıların AI ile yaptıkları sohbetler için benzersiz bir URL oluşturmasına olanak tanıyan paylaşılan sohbet özelliğini kullanıyor. Kullanıcılar aynı şekilde sahte sayfalara çekiliyor, ancak bu kez 'Apple Support'a atfedilen ve 'Claude Code on Mac' kurulum kılavuzu olarak gizlenmiş bir paylaşılan sohbetle karşılaşıyorlar. Bu sohbet, kötü amaçlı yazılım indiren ve çalıştıran bir curl komutu içeriyor. Push Security, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedef alındığını belirtiyor.
Push Security, ChatGPT ve Claude varyantlarının müşteri ortamlarında görülmesinin, farklı platformlar ve sosyal mühendislik yaklaşımlarıyla aktif olarak deney yapan bir kampanyaya veya en azından ortak bir oyun kitabına işaret ettiğini açıklıyor. Saldırganlar, hangi platformun ve yaklaşımın daha iyi dönüşüm sağladığını test ediyor. Ayrıca, ClickFix saldırılarının artık e-posta yerine arama sonuçları yoluyla ulaşıldığı ve reklam yazılımlarının genellikle kurban türüne, coğrafyaya ve diğer özelliklere göre sıkı bir şekilde hedeflendiği belirtiliyor. Bu, saldırganların daha etkili ve hedefli kampanyalar yürüttüğünü gösteriyor.
Gelecekte Ne Bekleniyor?
Kullanıcıların bu tür saldırılardan korunmak için dikkatli olması gerekiyor. Özellikle Google reklamları ve arama sonuçlarındaki bağlantılara tıklarken, sayfanın gerçek ChatGPT alan adı olup olmadığını kontrol etmek önemlidir. Ayrıca, bilinmeyen kaynaklardan gelen komut satırı kurulum talimatlarına şüpheyle yaklaşılmalı ve doğrudan terminalde çalıştırılmamalıdır. Güvenlik yazılımları ve tarayıcı uzantıları, bu tür kimlik avı sayfalarını tespit etmeye yardımcı olabilir. Şirketler, çalışanlarını bu tür sosyal mühendislik taktikleri konusunda eğitmeli ve güvenlik farkındalığını artırmalıdır.
Push Security, bu kampanyanın arkasındaki tehdit aktörlerinin, AI araçlarının yaygınlaşmasıyla birlikte kullanıcıların güvenini istismar ettiğini vurguluyor. Saldırganlar, meşru platformların güvenilirliğini kullanarak daha inandırıcı kimlik avı sayfaları oluşturuyor. Bu nedenle, kullanıcıların her zaman şüpheci olması ve beklenmedik indirme taleplerine karşı dikkatli olması gerekiyor. Güvenlik uzmanları, bu tür saldırıların artabileceğini ve AI destekli araçların kötüye kullanımının yeni bir siber güvenlik tehdidi oluşturduğunu belirtiyor.
Kaynak: infosecurity-magazine.com