Złośliwy kod ukryty w ChatGPT. Tak hakerzy zastawiają pułapki i kradną dane

Eksperci z Push Security zidentyfikowali nową technikę dystrybucji złośliwego oprogramowania, która z uwagi na użycie dużych modeli językowych (LLMs) została nazwana "LLMShare". Na czym to polega? Tradycyjne systemy filtrujące oraz zapory sieciowe w dużej mierze polegają na reputacji domen. Ponieważ adresy takie jak chatgpt.com czy claude.ai są powszechnie uznawane za bezpieczne i cieszą się bezgranicznym zaufaniem narzędzi bezpieczeństwa, przestępcy postanowili uczynić z nich idealną osłonę dla swoich ataków.

Wcześniejsze warianty tej metody opierały się na generowaniu publicznych linków do udostępnionych konwersacji z czatbotem. Jeden ze schematów oszustwa wymierzony był w użytkowników Anthropic Claude. Pułapka polega na udostępnieniu linku do rozmowy, która została ucharakteryzowana na oficjalny poradnik instalacji narzędzia Claude Code on Mac, rzekomo przygotowany przez wsparcie techniczne Apple.

Sztuczka opiera się na klasycznej socjotechnice - użytkownik jest instruowany, aby skopiować z czatu i wkleić w terminalu swojego komputera specjalną komendę systemową (tzw. polecenie curl), która w tle automatycznie pobiera i uruchamia złośliwe oprogramowanie. Wykonanie tego polecenia skutkowało pobraniem i uruchomieniem złośliwego oprogramowania kradnącego dane, takiego jak np. Atomic macOS Stealer (AMOS), służący do wykradania kryptowalut.

Najnowsza ewolucja ataku LLMShare idzie jednak znacznie dalej i eliminuje konieczność nakłaniania użytkownika do ręcznego wklejania kodu. Przestępcy wykorzystali funkcję generowania kodu programistycznego w ChatGPT, aby wewnątrz oryginalnej domeny OpenAI wyświetlić kompletną, spreparowaną stronę internetową.

Ofiara widzi profesjonalnie zaprojektowany komunikat o awarii systemu i przeciążeniu serwerów z powodu wysokiego ruchu. Pod informacją znajduje się sugestia, że aby kontynuować pracę, należy pobrać aplikację na komputer. Kliknięcie przycisku pobierania przekierowuje użytkownika na zewnętrzną witrynę openew[.]app. Ta strona phishingowa jest niemal idealną kopią oficjalnej witryny pobierania OpenAI, na której znajdują się wersje oprogramowania dla systemów Windows i macOS oraz rozszerzenia do przeglądarki Chrome.

Aby utrudnić analizę i wykrycie oszustwa, przestępcy zastosowali technikę renderowania warunkowego. Oznacza to, że witryna potrafi odróżnić prawdziwego użytkownika od automatycznych skanerów bezpieczeństwa i botów testujących. Gdy systemy analityczne próbują zbadać link, są przekierowywane na zupełnie niegroźną, losową stronę firmy zajmującej się technologią AR/VR.

Z kolei żywy użytkownik otrzymuje instalator, który po uruchomieniu na systemie Windows sprawdza klucze rejestru w poszukiwaniu oprogramowania chroniącego (nazywanego potocznie antywirusem) i weryfikuje, czy nie znajduje się w środowisku wirtualnym (VM). Na systemach macOS program ten instaluje tzw. infostealera (program do wykradania danych) o nazwie Odyssey Stealer.

Ruch na te niebezpieczne linki zaufanych domen generowany jest głównie za pomocą pozycjonowania SEO oraz sponsorowanych reklam w wyszukiwarkach internetowych, które wyświetlają się po wpisaniu popularnych haseł oraz ich typowych literówek. Link w wyszukiwarce może wyglądać zupełnie niegroźnie i prowadzić do strony wyglądającej jota w jotę jak któryś z prawowitych serwisów.

Zdaniem ekspertów panuje obecnie niezwykle niebezpieczny trend, w którym przestępcy systematycznie przejmują i wykorzystują infrastrukturę globalnych marek technologicznych. Przełamując zabezpieczenia lub wykorzystując luki, napastnicy potrafią wysyłać wiadomości phishingowe za pośrednictwem Amazon SES, co pozwala im bezproblemowo przechodzić systemy weryfikacji SPF, DKIM oraz DMARC, które mają potwierdzać tożsamość nadawcy i chronić przed podszywaniem się pod obce adresy e-mail.

Podobne incydenty odnotowano przy masowej kradzieży danych użytkowników Facebooka za pomocą wewnętrznych funkcji platformy Google AppSheet, gdzie hakerzy pozyskali blisko 30 tys. loginów i haseł do serwisu społecznościowego, a także przy wielomiesięcznym nadużywaniu oficjalnego kanału powiadomień Microsoftu do rozsyłania fałszywych wiadomości z autentycznego adresu służącego do obsługi kodów przy uwierzytelnianiu dwuskładnikowym (2FA).

Równie niepokojące jest zjawisko masowego hostowania stron wyłudzających dane na platformach takich jak GitHub Pages, Vercel, Azure Blob Storage czy w chmurach Cloudflare i Supabase. Przestępcy wykorzystują również podatności w popularnych systemach zarządzania treścią, czego przykładem była masowa infekcja witryn opartych na Ghost CMS, gdzie na podstronach prestiżowych uczelni wyższych oraz znanych wyszukiwarek bez wiedzy właścicieli umieszczono złośliwe panele weryfikacyjne.

Głównym problemem z tego typu działalnością przestępczą pozostaje fakt, że wszystkie te platformy są całkowicie legalne. Z tego powodu tradycyjne mechanizmy obronne - oceniające reputację domen, autoryzację e-maili czy kategorie adresów URL - automatycznie uznają je za bezpieczne. Ogólna zasada opiera się na tym samym, trudnym do wykrycia schemacie wykorzystywania powszechnego zaufania. Rozwiązaniem mogą okazać się techniki zabezpieczające również oparte na sztucznej inteligencji, dostępne zarówno w pakietach chroniących instalowanych na urządzeniu, jak i działające w tle na serwerach np. poczty i dostawców usług.