Sahte ChatGPT uygulaması tuzağı Windows ve Mac kullanıcılarını hedef aldı
Push Security araştırmacıları, "LLMShare" adını verdikleri yeni bir saldırı yöntemini ortaya çıkardı. Saldırganlar bu yöntemde güvenilir görünen alan adlarını kullanarak kullanıcıları bilgi çalan zararlı yazılımlara yönlendiriyor.
Saldırganlar, ChatGPT gibi yapay zeka sohbet araçlarının paylaşım özelliğinden yararlanıyor. Gerçek alan adı üzerinde özel bir sayfa oluşturan grup, kullanıcılara sistemde yoğunluk yaşandığını veya bakım çalışması yapıldığını gösteren sahte uyarılar çıkarıyor.
Bu sayfalar ilk bakışta normal görünüyor. Ancak amaç, kullanıcıyı masaüstü uygulamasını indirmeye ikna etmek.
Saldırganlar, Google'da verilen sponsorlu reklamları kullanıyor. Özellikle "ChatGPT", "ChatGPT masaüstü uygulaması" ve "ChatGPT indir" gibi aramalarda bu reklamlara rastlanabiliyor.
Kullanıcı reklama tıkladığında, karşısına normal bir ChatGPT paylaşım bağlantısına benzeyen bir adres çıkıyor. Adres OpenAI alan adını kullandığı için birçok güvenlik filtresi ve güvenlik duvarı bu bağlantıyı şüpheli olarak işaretlemiyor.
Kullanıcı indirme düğmesine bastığında farklı bir alan adına yönlendiriliyor. Burada OpenAI'ın masaüstü uygulamasını taklit eden sahte bir site yer alıyor.
Bu site üzerinden hem Windows hem de macOS kullanıcılarını hedefleyen zararlı dosyalar dağıtılıyor.
Araştırmacılara göre saldırıda kullanılan site, güvenlik analizlerinden kaçmak için bazı kontroller yapıyor. Sistem, ziyaretçinin gerçek bir bilgisayar mı yoksa güvenlik araştırmaları için kullanılan sanal bir ortam mı kullandığını anlamaya çalışıyor.
BleepingComputer'ın testlerinde Windows sürümünün çeşitli kontroller yaptığı görüldü. Yazılım, güvenlik araçlarına ait kayıtları arıyor ve çalıştığı ortamın sanal makine olup olmadığını anlamaya çalışıyor.
macOS tarafında ise kurbanın cihazına Odyssey Stealer adlı bilgi hırsızı zararlı yazılım yükleniyor. Bu yazılım cihazdaki hassas verileri toplamayı hedefliyor.
Güvenlik uzmanları, saldırganların yapay zeka araçlarını kötü amaçlı yazılım dağıtmak için giderek daha fazla kullandığını belirtiyor.
Bunun son örneklerinden biri GreyVibe adlı tehdit grubu oldu. Grup, Ukrayna'daki bazı altyapıları hedef alan saldırılar düzenledi.
Araştırmacılara göre GreyVibe, yapay zekadan yararlanarak teknik eksiklerini kapatıyor, kod gizleme araçları hazırlıyor ve daha gerçekçi sosyal mühendislik içerikleri üretiyor.
Grup ayrıca PhantomMail adlı yöntemle Ukrayna devlet kurumlarını taklit eden oltalama e-postaları gönderdi. PhantomClick ile kullanıcıları sahte CAPTCHA ekranlarına yönlendirdi ve zararlı PowerShell komutları çalıştırdı. PrincessClub adlı yöntemle de Android casus yazılımı içeren sahte yetişkin içerik siteleri kurdu.