カスペルスキー、Google広告を通じてチャットGPTを装ったマルウェアキャンペーンを明らかに

ジャカルタ - カスペルスキーの脅威研究チームは、チャットGPTの公式ウェブサイトで有料のGoogle検索広告と共同会話を使用する新しいマルウェアキャンペーンを特定しました。

このキャンペーンでは、攻撃者は「chatgpt atlas」などのクエリにスポンサー付き検索広告を購入し、ユーザーをchatgpt.comでホストされている「macOS用のChatGPT Atlas」のインストールガイドのように見えるページにリダイレクトします。

実際、ページは、プロンプトを設計し、その後、ステップバイステップの「インストール」命令のみが残るように消毒されたチャットボットとの共同会話です。

ガイドは、ユーザーに1行のコードをコピーし、macOSでターミナルを開き、コマンドを貼り付け、要求されたすべての権限を提供するよう指示します。

カスペルスキーの研究者の分析によると、コマンドはユーザーにシステムのパスワードを入力し、システムコマンドの実行を試してパスワードを検証するよう要求するスクリプトをダウンロードして実行します。

正しいパスワードが与えられた後、スクリプトは盗まれた資格情報を使用して、AMOSインフィステーラーをダウンロードしてインストールし、マルウェアを起動します。

このマルウェアは、人気ブラウザのパスワード、クッキー、その他の情報をターゲットにしています。暗号資産ウォレットのデータには、Electrum、Coinomi、Exodusなどのデータが含まれ、Telegram DesktopやOpenVPN Connectなどのアプリケーションの情報も含まれています。

また、攻撃者が制御するインフラストラクチャにこのデータをエクスポートするために 、 「 デスクトップ 」 、 「ドキュメント 」 、 「ダウンロード」フォルダのTXT、PDF、DOCX拡張子を持つファイルと「メモ」アプリケーションによって保存されたファイルを探します。

同時に、攻撃は再起動時に自動的に実行するように構成されたバックドアをインストールし、侵入されたシステムへのリモートアクセスを提供し、AMOSデータ収集ロジックの大部分を複製します。