Siber güvenlik firması Push Security, saldırganların ChatGPT'nin meşru alan adlarını kullanarak kimlik avı kampanyaları yürüttüğünü tespit etti. Saldırganlar, ChatGPT'nin kod oluşturma özelliğini kötüye kullanarak markayı taklit eden sayfalar oluşturuyor. Bu sayfalar, kullanıcıları sahte bir indirme sayfasına yönlendirerek kötü amaçlı bir yürütülebilir dosya indirmeye ikna ediyor. Push Security, bu saldırıları 'InstallFix' saldırıları olarak adlandırıyor ve bunların, daha önce belgeledikleri ClickFix ailesinin bir varyantı olduğunu belirtiyor. Saldırganlar, yapay zeka araçlarının komut satırı iş akışlarını normalleştirmesinden yararlanarak, deneyimsiz kullanıcıları meşru bir terminal komutu ile kötü niyetli bir komut arasındaki farkı ayırt edememeleri nedeniyle hedef alıyor.
Kampanyanın ilk aşamasında, kullanıcılar kötü niyetli Google reklamları ve SEO zehirleme (SEO poisoning) yöntemleriyle sahte sayfalara çekiliyor. Tıklayan kullanıcılar, ChatGPT markasıyla tasarlanmış, yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden bir sayfaya yönlendiriliyor. Sayfa, kullanıcıları masaüstü uygulamasını indirmeye teşvik ediyor. Ancak indirme butonuna tıklayan kullanıcılar, ChatGPT'yi taklit eden bir kimlik avı sitesine yönlendiriliyor ve burada kötü amaçlı yazılım yükleniyor. Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması nedeniyle çoğu tarama aracı tarafından güvenilir kabul edildiğini vurguluyor. Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının derinlemesine inceleme yaptığını algılarsa sayfayı göstermiyor; bu da otomatik tarayıcıların zararsız bir sayfa görmesine neden oluyor.
Push Security, bu kampanyanın benzer bir varyantını da tespit etti. Bu varyantta, saldırganlar ChatGPT'nin 'paylaşılan sohbet' özelliğini kullanıyor. Bu özellik, kullanıcıların yapay zeka ile yaptıkları sohbetler için benzersiz bir URL oluşturmasına ve başkalarının okumasına olanak tanıyor. Saldırganlar, 'Apple Destek' adına 'Claude Code on Mac' kurulum kılavuzu olarak gizlenmiş bir paylaşılan sohbet oluşturuyor. Bu sahte kılavuz, kullanıcıları bir curl komutu çalıştırmaya yönlendiriyor ve bu komut, kötü amaçlı yazılımı indirip çalıştırıyor. Push Security, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedef alındığını belirtiyor. Bu durum, saldırganların farklı platformlar ve sosyal mühendislik yaklaşımları deneyerek en iyi dönüşüm oranını bulmaya çalıştıklarını gösteriyor.
Push Security, ClickFix saldırılarının artık e-posta yerine arama sonuçları üzerinden yayıldığını ve malvertising (kötü niyetli reklamcılık) saldırılarının genellikle kurban türüne, coğrafi konuma ve diğer özelliklere göre dar bir şekilde hedeflendiğini belirtiyor. Bu tür saldırılara karşı kullanıcıların, özellikle arama motoru reklamlarına ve tanımadıkları kaynaklardan gelen indirme taleplerine karşı dikkatli olmaları gerekiyor. Push Security, bu kampanyaların kurbanlarının çoğunlukla bilgi çalma amaçlı kötü amaçlı yazılımlarla (infostealer) hedef alındığını tahmin ediyor.