كاسبيرسكي يكشف عن حملة برمجيات الخبيثة المزيفة لـ ChatGPT من خلال إعلانات Google

جاكرتا - حددت أبحاث تهديدات كاسبيرسكي حملة جديدة للبرمجيات الخبيثة تستخدم الإعلانات المدفوعة على محركات البحث ومحادثات مشتركة على موقع ChatGPT الرسمي.

في هذه الحملة ، اشترى المهاجم إعلانات بحث ممولة لمعايير مثل "chatgpt atlas" وأحال المستخدمين إلى صفحة تبدو وكأنها دليل تثبيت "ChatGPT Atlas for macOS" المضيف على chatgpt.com.

في الواقع ، الصفحة هي محادثة مشتركة مع ChatGPT تم إنشاؤها من خلال هندسة الإلهام ثم تم تطهيرها بحيث تبقى فقط تعليمات "التثبيت" خطوة بخطوة.

يوجه الدليل المستخدم إلى نسخ سطر من التعليمات البرمجية ، وفتح "المحطة الطرفية" في macOS ، و لصق الأوامر ، وتقديم جميع الإذن المطلوب.

أظهر تحليل الباحثين في كاسبيرسكي أن الأمر يقوم بتنزيل وتشغيل سطر الأوامر الذي يطلب من المستخدم إدخال كلمة المرور الخاصة بهم وتأكيد كلمة المرور عن طريق محاولة تنفيذ أوامر النظام.

بعد إدخال كلمة المرور الصحيحة ، يقوم البرنامج النصي بتنزيل برنامج AMOS infostealer ، باستخدام بيانات الاعتماد المسروقة لتثبيته وإطلاق البرمجيات الخبيثة.

يستهدف البرنامج الخبيث كلمات المرور ، وملفات تعريف الارتباط ، والمعلومات الأخرى من متصفحات شعبية ، وبيانات من محافظ الأصول المشفرة مثل Electrum و Coinomi و Exodus ، وكذلك معلومات من التطبيقات بما في ذلك Telegram Desktop و OpenVPN Connect.

كما يبحث عن ملفات مع امتدادات TXT و PDF و DOCX في المجلدات "سطح المكتب" و "المستندات" و "التنزيلات" ، وكذلك الملفات المخزنة بواسطة تطبيق "ملاحظات" ، ثم تصدير هذه البيانات إلى البنية التحتية التي يسيطر عليها المهاجم.

وبشكل موازي، قام الهجوم بتثبيت backdoor تم تكوينها لتشغيل تلقائيًا عند إعادة التشغيل، مما يمنح الوصول عن بعد إلى النظام المسلح، ونسخ معظم منطق جمع البيانات AMOS.