ChatGPT Sahte Sayfalarıyla Yeni Kimlik Avı Kampanyası: Kötü Amaçlı Yazılım Tehlikesi Siber Güvenlik

ChatGPT Sahte Sayfalarıyla Yeni Kimlik Avı Kampanyası: Kötü Amaçlı Yazılım Tehlikesi

Saldırganlar, ChatGPT'nin kod oluşturma özelliğini kullanarak sahte sayfalar oluşturuyor ve kullanıcıları kötü amaçlı yazılım yüklemeye yönlendiriyor.

Siber güvenlik firması Push Security, tehdit aktörlerinin meşru ChatGPT alan adlarında barındırılan kimlik avı sayfaları aracılığıyla kötü amaçlı yazılım dağıttığını bildirdi. Şirkete göre, saldırganlar ChatGPT'nin kod oluşturma özelliğini kullanarak markayı taklit eden sayfalar oluşturuyor. Bu sayfalar, kullanıcıları sahte bir indirme sayfasına yönlendirerek kötü amaçlı yürütülebilir dosya indirmeye ikna ediyor.

Push Security, bu saldırıları 'InstallFix' saldırıları olarak adlandırıyor ve daha önce belgeledikleri ClickFix ailesinin bir çeşidi olduğunu belirtiyor. Bu saldırılar, yapay zeka araçlarının komut satırı kurulum iş akışlarını normalleştirmesinden yararlanıyor. Deneyimsiz kullanıcılar, meşru bir terminal komutu ile kötü amaçlı olanı ayırt edemiyor. Saldırının hedefindeki yükün tam olarak ne olduğu bilinmezken, bilgi hırsızı yazılımı olduğundan şüpheleniliyor.

Mağdurlar başlangıçta kötü niyetli Google reklamları ve SEO zehirleme yoluyla sahte sayfalara çekiliyor. Tıkladıklarında, ChatGPT markalı ve yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden tamamen tasarlanmış bir web sayfasına yönlendiriliyorlar. Sayfa, kullanıcıları masaüstü uygulamasını indirmeye teşvik ediyor, ancak bu işlem onları ChatGPT'yi taklit eden bir kimlik avı sitesine götürüyor. 'İndir' düğmesine tıklayan kullanıcılar kötü amaçlı yazılım yüklemiş oluyor.

Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması nedeniyle çoğu tarama aracı tarafından güvenilir kabul edildiğini uyarıyor. Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının daha derine inmeye çalıştığını algılarsa görüntülenmiyor. Bu koşullu oluşturma tekniği, kötü amaçlı reklam ekosisteminde yaygın bir kaçınma yöntemi olarak biliniyor. Push Security, benzer kampanyaların ChatGPT ve Claude kullanıcılarını hedef aldığını ve ClickFix saldırılarının artık e-posta yerine arama sonuçları üzerinden gerçekleştirildiğini belirtiyor.

Paylaş: