- 27,154
- 46
- 8 Ноя 2022
Почему ИИ-платформы стали идеальным местом для размещения скрытых вирусов?
Злоумышленники нашли неприятный способ использовать доверие к домену ChatGPT. Они публикуют поддельные страницы с сообщением о сбое прямо через функцию общих ссылок ChatGPT, а затем подсовывают пользователям вредоносную программу под видом настольного приложения OpenAI.
Кампанию LLMShare обнаружила Push Security . Атака начинается с рекламных объявлений Google, рассчитанных на людей, которые ищут ChatGPT. После клика пользователь попадает не на подозрительный сторонний сайт, а на страницу общего доступа на домене chatgpt.com. Именно это делает схему опаснее обычного фишинга: адрес выглядит легитимным и связан с настоящим сервисом OpenAI.
На странице вместо обычной переписки показывается аккуратно оформленное уведомление о якобы временной недоступности веб-версии. Пользователю объясняют, что сервис перегружен из-за большого числа посетителей, и предлагают продолжить работу через настольное приложение. Кнопка загрузки ведёт уже не на OpenAI, а на поддельный сайт.
Важная деталь в том, что фальшивое уведомление не размещено на инфраструктуре атакующих в привычном виде. Страница отрисовывается средствами самого ChatGPT. Злоумышленники подготовили HTML и CSS через запрос к модели, опубликовали результат как общую ссылку и получили убедительную заглушку на настоящем домене chatgpt.com.
Push Security отмечает, что на такой странице видны элементы управления вроде «Show code» и «Remix with ChatGPT». Они показывают, что уведомление о сбое собрано как пользовательский HTML-код, а не как системное сообщение OpenAI. Для обычного посетителя эта разница может быть незаметной, особенно если переход начался с рекламного объявления в поиске.
После нажатия на кнопку загрузки пользователя переводят на сайт openew[.]app. Он имитирует страницу загрузки настольного приложения OpenAI и предлагает версии для macOS и Windows. Обе загрузки, по данным исследователей, устанавливают вредоносное ПО.
Сайт использует маскировку. Когда его открывали системы проверки ссылок, например URLScan, им показывали безобидную страницу компании из сферы дополненной и виртуальной реальности. Целевым посетителям при этом выдавалась поддельная страница загрузки ChatGPT. Такой приём помогает дольше скрывать вредоносную инфраструктуру от автоматических анализаторов и защитных сервисов.
Точный набор вредоносных функций пока не раскрыт. Исследователи не уточняют, какие именно программы устанавливаются на устройства в финале атаки. Однако похожие кампании, где злоупотребляли функциями общего доступа на ИИ-платформах, ранее распространяли похитителей данных. Такие вредоносы обычно ищут пароли, cookies, токены сессий, криптокошельки и другую информацию, которую можно быстро монетизировать.
Проверка Windows-версии в Any.Run показала, что файл выполняет команды для оценки окружения. Программа пытается понять, запущена ли она на настоящем компьютере или в виртуальной машине. Такое поведение часто используют вредоносные загрузчики и шпионские программы, чтобы не раскрывать основную активность в песочницах исследователей.
LLMShare не единственный пример атаки через функции публикации контента в ИИ-сервисах. Push Security также наблюдала злоупотребления Claude Artifacts, механизмом Anthropic для демонстрации интерактивных страниц и приложений. В этих случаях атакующие размещали приманки в стиле ClickFix: пользователя убеждали выполнить команды вручную, якобы для исправления ошибки или установки нужной программы.
Похожие схемы появлялись и раньше. В одной кампании злоумышленники покупали рекламу Google для запросов, связанных с загрузкой Claude, а затем вели людей на общие страницы с вредоносными инструкциями. В других случаях общие ссылки ChatGPT и Grok использовали для поддельных руководств по установке ПО, где жертву просили выполнить команды, устанавливающие вредоносную программу.
Главная проблема таких атак в том, что злоумышленники перестают полагаться только на поддельные домены. Они используют настоящие функции ИИ-платформ, настоящие адреса и привычный интерфейс общего доступа. Поэтому подозрительным должен быть не только домен, но и сам сценарий: если страница с chatgpt.com внезапно сообщает о сбое и предлагает скачать приложение с другого сайта, такую загрузку лучше закрыть и перейти на официальный ресурс вручную.
Злоумышленники нашли неприятный способ использовать доверие к домену ChatGPT. Они публикуют поддельные страницы с сообщением о сбое прямо через функцию общих ссылок ChatGPT, а затем подсовывают пользователям вредоносную программу под видом настольного приложения OpenAI.
Кампанию LLMShare обнаружила Push Security . Атака начинается с рекламных объявлений Google, рассчитанных на людей, которые ищут ChatGPT. После клика пользователь попадает не на подозрительный сторонний сайт, а на страницу общего доступа на домене chatgpt.com. Именно это делает схему опаснее обычного фишинга: адрес выглядит легитимным и связан с настоящим сервисом OpenAI.
На странице вместо обычной переписки показывается аккуратно оформленное уведомление о якобы временной недоступности веб-версии. Пользователю объясняют, что сервис перегружен из-за большого числа посетителей, и предлагают продолжить работу через настольное приложение. Кнопка загрузки ведёт уже не на OpenAI, а на поддельный сайт.
Важная деталь в том, что фальшивое уведомление не размещено на инфраструктуре атакующих в привычном виде. Страница отрисовывается средствами самого ChatGPT. Злоумышленники подготовили HTML и CSS через запрос к модели, опубликовали результат как общую ссылку и получили убедительную заглушку на настоящем домене chatgpt.com.
Push Security отмечает, что на такой странице видны элементы управления вроде «Show code» и «Remix with ChatGPT». Они показывают, что уведомление о сбое собрано как пользовательский HTML-код, а не как системное сообщение OpenAI. Для обычного посетителя эта разница может быть незаметной, особенно если переход начался с рекламного объявления в поиске.
После нажатия на кнопку загрузки пользователя переводят на сайт openew[.]app. Он имитирует страницу загрузки настольного приложения OpenAI и предлагает версии для macOS и Windows. Обе загрузки, по данным исследователей, устанавливают вредоносное ПО.
Сайт использует маскировку. Когда его открывали системы проверки ссылок, например URLScan, им показывали безобидную страницу компании из сферы дополненной и виртуальной реальности. Целевым посетителям при этом выдавалась поддельная страница загрузки ChatGPT. Такой приём помогает дольше скрывать вредоносную инфраструктуру от автоматических анализаторов и защитных сервисов.
Точный набор вредоносных функций пока не раскрыт. Исследователи не уточняют, какие именно программы устанавливаются на устройства в финале атаки. Однако похожие кампании, где злоупотребляли функциями общего доступа на ИИ-платформах, ранее распространяли похитителей данных. Такие вредоносы обычно ищут пароли, cookies, токены сессий, криптокошельки и другую информацию, которую можно быстро монетизировать.
Проверка Windows-версии в Any.Run показала, что файл выполняет команды для оценки окружения. Программа пытается понять, запущена ли она на настоящем компьютере или в виртуальной машине. Такое поведение часто используют вредоносные загрузчики и шпионские программы, чтобы не раскрывать основную активность в песочницах исследователей.
LLMShare не единственный пример атаки через функции публикации контента в ИИ-сервисах. Push Security также наблюдала злоупотребления Claude Artifacts, механизмом Anthropic для демонстрации интерактивных страниц и приложений. В этих случаях атакующие размещали приманки в стиле ClickFix: пользователя убеждали выполнить команды вручную, якобы для исправления ошибки или установки нужной программы.
Похожие схемы появлялись и раньше. В одной кампании злоумышленники покупали рекламу Google для запросов, связанных с загрузкой Claude, а затем вели людей на общие страницы с вредоносными инструкциями. В других случаях общие ссылки ChatGPT и Grok использовали для поддельных руководств по установке ПО, где жертву просили выполнить команды, устанавливающие вредоносную программу.
Главная проблема таких атак в том, что злоумышленники перестают полагаться только на поддельные домены. Они используют настоящие функции ИИ-платформ, настоящие адреса и привычный интерфейс общего доступа. Поэтому подозрительным должен быть не только домен, но и сам сценарий: если страница с chatgpt.com внезапно сообщает о сбое и предлагает скачать приложение с другого сайта, такую загрузку лучше закрыть и перейти на официальный ресурс вручную.
- Источник новости
- www.securitylab.ru
