Saldırganlar Paylaşılan İçeriği ChatGPT Kimlik Avı Kampanyası İçin Kötüye Kullanıyor Windows

Saldırganlar Paylaşılan İçeriği ChatGPT Kimlik Avı Kampanyası İçin Kötüye Kullanıyor

Push Security, tehdit aktörlerinin meşru ChatGPT etki alanlarında barındırılan kimlik avı sayfalarından kötü amaçlı yazılım yaydığı konusunda uyardı....

Push Security, tehdit aktörlerinin meşru ChatGPT etki alanlarında barındırılan kimlik avı sayfalarından kötü amaçlı yazılım yaydığı konusunda uyardı.

Satıcı, bilgisayar korsanlarının markayı taklit eden sayfalar oluşturmak için ChatGPT'nin kod oluşturma özelliğini kötüye kullandığını iddia etti. Bunlar, kurbanları kötü amaçlı bir yürütülebilir dosya sunmak üzere tasarlanmış sahte bir indirme sayfasına yönlendirir.

"Bunlar aslında, Push'un bu yılın başlarında belgelediği ClickFix ailesinin bir çeşidi olan InstallFix saldırılarıdır ve meşru bir terminal komutunu kötü niyetli bir komuttan ayırma deneyimine sahip olmayan bir kullanıcı topluluğu için yapay zeka araçlarının komut satırı kurulum iş akışlarını normalleştirdiği gerçeğinden yararlanırlar" diye açıkladı.

Bilgi hırsızı kötü amaçlı yazılımdan şüphelenilse de yükün tam olarak ne olduğu belli değil.

Teknik Analiz

ChatGPT temalı tehditler hakkında daha fazlasını okuyun: Kimlik Avı Siteleri ve Uygulamaları ChatGPT'yi Yem Olarak Kullanın.

Uzmanların Görüşleri

Kurbanlar başlangıçta kötü niyetli Google reklamları ve SEO zehirlenmesi yoluyla sahte sayfalara yönlendiriliyor. Tıklamak onları, yüksek trafik nedeniyle hizmet kesintisi olduğunu iddia eden ChatGPT markasıyla taklit edilen "tamamen tasarlanmış, bağımsız bir web sayfasına" götürür.

Devam etmek için ziyaretçileri uygulamanın masaüstü sürümünü indirmeye teşvik eder. Ancak bunu yapmak, kullanıcıları "indir" düğmesine basarsa kötü amaçlı yazılım yükleyecek olan ChatGPT'yi taklit eden bir kimlik avı sitesine götürecektir.

Detaylar ve Etkileri

Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırılması nedeniyle çoğu tarama aracının ona güvendiğini uyardı.

Ayrıca, ikinci kimlik avı sayfası, güvenlik araştırmacılarının daha derine inmeye çalıştığından şüpheleniyorsa görüntülenmeyecektir.

Raporda, "Tarayıcıdaki gerçek kullanıcılar sahte indirme sayfasını görüyor; otomatik tarayıcılar ve botlar ise zararsız bir şey görüyor" ifadesine yer verildi. "Bu tür koşullu oluşturma, kötü amaçlı reklamcılık ekosisteminde köklü bir kaçınma tekniğidir ve güvenlik ekipleri ve tehdit istihbarat servislerinin kötü amaçlı altyapıyı tespit etmesini ve analiz etmesini zorlaştırır."

Önemli Gelişmeler

Aynı Temanın Çeşitlemeleri

Sistem Güvenliği

Bu, chatbot özelliklerini kötüye kullanan bir dizi benzer kampanyanın sonuncusu. Push Security tarafından tespit edilen bir başkası ise, kullanıcıların AI ile yaptıkları bir sohbet için benzersiz bir URL oluşturmalarına ve böylece başkalarının okuyabilmesine olanak tanıyan paylaşılan konuşmaları kullanıyor.

Kullanıcılar, yukarıdaki saldırı akışıyla aynı şekilde sayfalara yönlendiriliyor, ancak bu kez onlara "'Apple Destek'e atfedilen, kötü amaçlı yazılımları indiren ve çalıştıran bir kıvrılma komutu içeren, 'Mac'te Claude Kodu' kurulum kılavuzu kılığına girmiş bir paylaşılan sohbet" sunuluyor.

Gelecekte Ne Bekleniyor?

Satıcı, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedeflendiğini gördüğünü söyledi.

"Hem ChatGPT hem de Claude varyantlarının Push müşteri ortamlarında görünmesi, neyin en iyi dönüşümü sağladığını bulmak için aktif olarak farklı platformlar ve farklı sosyal mühendislik yaklaşımlarını deneyen bir kampanyayı - veya en azından paylaşılan bir taktik kitabını - akla getiriyor" diye açıkladı.

Push Security, beş ClickFix saldırısından dördüne artık e-posta yerine arama sonuçları yoluyla ulaşıldığını ve kötü amaçlı reklamların kapsamının genellikle kurban türüne, coğrafyaya ve diğer niteliklere sıkı sıkıya bağlı olduğu konusunda uyardı.

Paylaş: