ChatGPT paylaşım keçidləri üzərindən zərərli proqram kampaniyası aşkarlanıb

Təhdid aktorları ChatGPT-nin məzmun paylaşımı (shared conversation) funksiyasından sui-istifadə edərək istifadəçilərə saxta nasazlıq bildirişləri göstərir və onları ChatGPT masaüstü tətbiqi adı altında zərərli proqram yükləməyə yönləndirirlər.

Aşkarlanan kampaniyada ChatGPT axtaran istifadəçilər Google reklamları vasitəsilə “chatgpt.com” domenində yerləşən paylaşılmış səhifəyə yönləndirilir. Səhifə legitim domen üzərindən açıldığı üçün istifadəçidə etibarlı mənbə təəssüratı yaradır. Lakin burada adi söhbət məzmunu əvəzinə ChatGPT-nin veb versiyasının müvəqqəti olaraq əlçatan olmadığı barədə saxta bildiriş göstərilir.

Saxta bildirişdə yüksək istifadəçi trafiki səbəbindən veb-saytın müvəqqəti olaraq işləmədiyi qeyd olunur və istifadəçilərə xidmətdən istifadəni davam etdirmək üçün masaüstü tətbiqi yükləmək təklif edilir. Bu yanaşma istifadəçini təcili qərar verməyə sövq edir və yükləmə düyməsinə klik etməsinə şərait yaradır.

Ənənəvi fişinq səhifələrindən fərqli olaraq, bu kampaniyada saxta bildiriş ayrıca hücumçu infrastrukturunda deyil, ChatGPT-nin məzmun təqdimetmə imkanları (content rendering capabilities) vasitəsilə göstərilir. Hücumçular xüsusi HTML və CSS məzmunu yaradaraq onu “chatgpt.com/s/” formatlı paylaşım keçidi ilə yayımlayırlar. Nəticədə istifadəçi saxta səhifəni legitim ChatGPT URL-i üzərindən görür.

Yükləmə düyməsinə klik edən istifadəçi OpenAI-nin masaüstü tətbiq yükləmə səhifəsini imitasiya edən ayrıca veb-sayta yönləndirilir. Məlumata görə bu sayt hədəflənmiş istifadəçilərə zərərli məzmun göstərmək, təhlükəsizlik analiz sistemlərinə isə zərərsiz səhifə təqdim etmək üçün “cloaking” texnikasından istifadə edir. Beləliklə, kampaniya həm istifadəçini aldatmağa, həm də avtomatlaşdırılmış təhlükəsizlik yoxlamalarından yayınmağa çalışır.

Sözügedən sayt Windows və macOS üçün yükləmə faylları təqdim edir. Bu fayllar ChatGPT masaüstü tətbiqi kimi göstərilsə də, cihazlara zərərli proqram quraşdırır. Windows üçün təqdim edilən faylın təhlili zamanı onun cihazın real istifadəçi mühiti, yoxsa virtual analiz mühiti olduğunu müəyyənləşdirmək üçün müxtəlif yoxlamalar apardığı bildirilib. Bu davranış zərərli proqramlarda təhlükəsizlik tədqiqatlarını çətinləşdirmək məqsədilə istifadə olunan üsullardan biridir.

Bu kampaniya göstərir ki, təhdid aktorları artıq yalnız saxta domenlərdən deyil, legitim süni intellekt platformalarının paylaşım imkanlarından da hücum zəncirinin bir hissəsi kimi istifadə edirlər. Buna görə istifadəçilər proqramları yalnız rəsmi mənbələrdən yükləməli, reklamlarda təqdim olunan keçidlərə və süni intellekt səhifələrindəki yükləmə təkliflərinə ehtiyatla yanaşmalıdırlar.