JAKARTA - Kaspersky Threat Research a identifié une nouvelle campagne de malware qui utilise des publicités de recherche Google payantes et des conversations sur le site officiel de ChatGPT.
Dans cette campagne, les attaquants ont acheté des annonces de recherche sponsorisées pour des requêtes telles que « chatgpt atlas » et ont redirigé les utilisateurs vers une page qui ressemblait à un guide d'installation pour « ChatGPT Atlas for macOS » hébergé sur chatgpt.com.
En fait, la page est une conversation générée par ChatGPT avec un prompt généré et ensuite désinfecté de sorte qu'il ne reste plus que des instructions « d'installation » étape par étape.
Le guide indique aux utilisateurs de copier une ligne de code, d'ouvrir Terminal sur macOS, d'y coller la commande et de fournir toutes les autorisations demandées.
L'analyse des chercheurs de Kaspersky montre que la commande télécharge et exécute un script qui demande à l'utilisateur d'entrer son mot de passe système et de valider le mot de passe en essayant d'exécuter des commandes système.
Après que le mot de passe correct a été fourni, le script télécharge l'infostealer AMOS, utilise les identifiants volés pour l'installer et lance le malware.
Ce malware cible les mots de passe, les cookies et d'autres informations des navigateurs populaires, les données des portefeuilles d'actifs cryptographiques tels que Electrum, Coinomi et Exodus, ainsi que des informations provenant d'applications telles que Telegram Desktop et OpenVPN Connect.
Il recherche également des fichiers avec les extensions TXT, PDF et DOCX dans les dossiers « Bureau », « Documents » et « Téléchargements », ainsi que des fichiers stockés par l’application « Notes », puis extrait ces données vers l’infrastructure contrôlée par l’attaquant.
En parallèle, l'attaque installe une backdoor configurée pour s'exécuter automatiquement lors du redémarrage, lui permettant d'accéder à distance au système piraté et de dupliquer une grande partie de la logique de collecte de données AMOS.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
