سوءاستفاده جدید هکرها از ChatGPT برای توزیع بدافزار؛ کمپین خطرناک LLMShare شناسایی شد!

🚨 کشف کمپین جدید بدافزاری با نام LLMShare

محققان شرکت امنیتی Push Security یک کمپین جدید متعلق به عوامل تهدید را شناسایی کرده‌اند که با استفاده از دامنه‌های قانونی، بدافزارهای سرقت اطلاعات (Infostealer) را توزیع می‌کند. این کمپین با نام LLMShare شناخته می‌شود.

🎯 LLMShare چگونه کار می‌کند؟

در اصل، LLMShare از قابلیت اشتراک‌گذاری (Share) چت‌بات‌های محبوب مبتنی بر مدل‌های زبانی بزرگ (LLM) مانند ChatGPT سوءاستفاده می‌کند.

مهاجمان یک قالب HTML سفارشی را مستقیماً روی دامنه قانونی نمایش می‌دهند تا پیامی جعلی درباره تعمیرات یا اختلال سیستم به کاربران نشان دهند. این پیام معمولاً شامل عباراتی مانند:

«در حال حاضر ترافیک بسیار بالایی را تجربه می‌کنیم»

است و با هدف شبیه‌سازی خرابی سرویس طراحی شده تا کاربران را متقاعد کند نسخه دسکتاپ برنامه را دانلود کنند.

🖥️ نمایش پیام جعلی نگهداری سیستم

تصویر منتشرشده توسط Push Security نشان می‌دهد که صفحه‌ای با ظاهر کاملاً معتبر نمایش داده می‌شود که وانمود می‌کند سرویس به دلیل ترافیک سنگین یا مشکلات فنی موقتاً از دسترس خارج شده است.

هدف نهایی این صفحه، ترغیب کاربر به دانلود یک برنامه دسکتاپ جعلی است.

🔍 استفاده از تبلیغات گوگل برای فریب کاربران

عوامل تهدید از تبلیغات اسپانسری گوگل استفاده می‌کنند و کلمات کلیدی محبوبی مانند موارد زیر را هدف قرار می‌دهند:

• ChatGPT

• ChatGPT desktop app

• ChatGPT download

زمانی که کاربر روی این تبلیغات مخرب کلیک می‌کند، به یک آدرس کاملاً قانونی هدایت می‌شود که دقیقاً مشابه لینک‌های اشتراک‌گذاری معمول ChatGPT است و ساختاری مانند زیر دارد:

chatgpt.com/s/[unique-id]

از آنجا که این دامنه متعلق به OpenAI است، قوانین فیلترینگ وب و همچنین مسدودسازی‌های فایروال فعال نمی‌شوند و همین موضوع باعث می‌شود حمله بسیار متقاعدکننده به نظر برسد.

⬇️ دانلود بدافزار از طریق یک سایت جعلی

هنگامی که کاربر روی دکمه دانلود موجود در این صفحه جعلی کلیک می‌کند، وب‌سایت او را به دامنه خارجی openew[.]app منتقل می‌کند.

این سایت خود را به عنوان نسخه رسمی برنامه دسکتاپ OpenAI معرفی می‌کند و از طریق آن بدافزارهایی برای کاربران ویندوز و macOS توزیع می‌شوند.

🕵️ قابلیت تشخیص محیط‌های آزمایشی

سایت مورد استفاده در این حمله به اندازه کافی هوشمند است که بتواند محیط‌های آزمایشی و سندباکس‌های خودکار را تشخیص دهد.

در چنین شرایطی، سایت ماهیت واقعی خود را پنهان می‌کند و به جای نمایش محتوای مخرب، تنها یک طراحی نمایشی و بی‌خطر ارائه می‌دهد.

🪟 رفتار نسخه ویندوز

زمانی که وب‌سایت BleepingComputer نسخه ویندوزی این بدافزار را در محیط Any.Run آزمایش کرد، فایل اجرایی پس از اجرا چندین فرمان مختلف را اجرا نمود تا تشخیص دهد قربانی از یک رایانه واقعی استفاده می‌کند یا در یک ماشین مجازی و محیط سندباکس قرار دارد.

این بدافزار همچنین به دنبال کلیدهای رجیستری مرتبط با نرم‌افزارهای امنیتی می‌گردد تا حضور ابزارهای حفاظتی را شناسایی کند.

🍏 رفتار نسخه macOS

در سیستم‌عامل macOS همین تله امنیتی، بدافزار Odyssey Stealer را نصب می‌کند.

هدف این بدافزار سرقت اطلاعات حساس کاربران است.

🤖 سوءاستفاده روزافزون از هوش مصنوعی و چت‌بات‌ها

هکرها هر روز روش‌های جدید و خلاقانه‌تری برای سوءاستفاده از مدل‌های زبانی بزرگ (LLM) و چت‌بات‌هایی که توسعه‌دهندگان بر پایه آن‌ها ساخته‌اند پیدا می‌کنند تا از آن‌ها برای توزیع نرم‌افزارهای مخرب استفاده کنند.

🇺🇦 حملات اخیر GreyVibe به زیرساخت‌های اوکراین

اخیراً یک عامل تهدید با نام GreyVibe زیرساخت‌های اوکراین را هدف قرار داده است.

این گروه با کمک هوش مصنوعی توانسته فراتر از توان عملیاتی معمول خود عمل کند، شکاف‌های فنی خود را پوشش دهد، اسکریپت‌های مبهم‌سازی کد (Code Obfuscation) تولید کند و همچنین طعمه‌های مهندسی اجتماعی بسیار واقعی و متقاعدکننده‌ای ایجاد نماید.

🛑 ابزارها و روش‌های مورد استفاده توسط GreyVibe

گروه GreyVibe از چندین روش حمله مختلف استفاده کرده است که از جمله آن‌ها می‌توان به موارد زیر اشاره کرد:

📧 PhantomMail

ارسال ایمیل‌های فیشینگ حرفه‌ای و پرداخت‌شده که خود را به عنوان سازمان‌ها و نهادهای دولتی اوکراین معرفی می‌کنند.

🔐 PhantomClick

استفاده از درخواست‌های CAPTCHA جعلی که در واقع دستورات مخرب PowerShell را روی سیستم قربانی اجرا می‌کنند.

📱 PrincessClub

میزبانی پورتال‌های جعلی محتوای بزرگسالان که حاوی جاسوس‌افزارهای اندرویدی هستند و برای آلوده‌سازی دستگاه‌های کاربران مورد استفاده قرار می‌گیرند.

🔒 توصیه امنیتی به کاربران

با توجه به افزایش حملات سایبری و سوءاستفاده مجرمان از نام سرویس‌های محبوبی مانند ChatGPT، توصیه می‌شود کاربران علاوه بر دانلود نرم‌افزارها فقط از منابع رسمی، از یک راهکار امنیتی معتبر نیز استفاده کنند. استفاده از آنتی‌ویروس ESET NOD32 می‌تواند در شناسایی و مسدودسازی بسیاری از تهدیدات، بدافزارهای سرقت اطلاعات، صفحات فیشینگ و فایل‌های مشکوک نقش مؤثری داشته باشد و امنیت سیستم را در برابر حملات جدید افزایش دهد.

دریافت  لایسنس نود 32

📌 جمع‌بندی

کمپین جدید LLMShare نشان می‌دهد که مهاجمان سایبری اکنون از اعتبار دامنه‌های قانونی و محبوبی مانند ChatGPT برای توزیع بدافزارهای سرقت اطلاعات استفاده می‌کنند. این حمله با بهره‌گیری از تبلیغات گوگل، صفحات اشتراک‌گذاری معتبر ChatGPT و برنامه‌های دسکتاپ جعلی، کاربران ویندوز و macOS را هدف قرار می‌دهد. در همین حال، گروه‌هایی مانند GreyVibe نیز با تکیه بر هوش مصنوعی در حال توسعه حملات پیچیده‌تر و متقاعدکننده‌تر علیه اهداف مختلف هستند.