Plus de 101 100 identifiants de compte OpenAI ChatGPT compromis ont trouvé leur chemin sur des marchés illicites du dark web entre juin 2022 et mai 2023, l’Inde représentant à elle seule 12 632 identifiants volés.
Les informations d’identification ont été découvertes dans les journaux de vol d’informations mis à disposition à la vente sur le réseau souterrain de la cybercriminalité, a déclaré Group-IB dans un rapport partagé avec The Hacker News.
« Le nombre de journaux disponibles contenant des comptes ChatGPT compromis a atteint un pic de 26 802 en mai 2023 », a déclaré la société basée à Singapour. a dit. « La région Asie-Pacifique a connu la plus forte concentration d’informations d’identification ChatGPT proposées à la vente au cours de l’année écoulée. »
Les autres pays avec le plus grand nombre d’informations d’identification ChatGPT compromises sont le Pakistan, le Brésil, le Vietnam, l’Égypte, les États-Unis, la France, le Maroc, l’Indonésie et le Bangladesh.
Une analyse plus approfondie a révélé que la majorité des journaux contenant des comptes ChatGPT ont été piratés par le célèbre voleur d’informations Raccoon (78 348), suivi par Vidar (12 984) et RedLine (6 773).
Les voleurs d’informations sont devenus populaires parmi les cybercriminels pour leur capacité pour détourner les mots de passe, les cookies, les cartes de crédit et d’autres informations des navigateurs et des extensions de portefeuille de crypto-monnaie.
« Les journaux contenant des informations compromises récoltées par des voleurs d’informations sont activement échangés sur les marchés du dark web », a déclaré Group-IB.
« Les informations supplémentaires sur les journaux disponibles sur ces marchés incluent les listes de domaines trouvés dans le journal ainsi que les informations sur l’adresse IP de l’hôte compromis. »
Généralement proposés sur la base d’un modèle de tarification par abonnement, ils ont non seulement abaissé la barre de la cybercriminalité, mais servent également de conduit pour lancer des attaques de suivi à l’aide des informations d’identification siphonnées.
« De nombreuses entreprises intègrent ChatGPT dans leur flux opérationnel », a déclaré Dmitry Shestakov, responsable du renseignement sur les menaces chez Group-IB.
« Les employés entrent dans des correspondances classifiées ou utilisent le bot pour optimiser le code propriétaire. Étant donné que la configuration standard de ChatGPT conserve toutes les conversations, cela pourrait par inadvertance offrir une mine d’informations sensibles aux acteurs de la menace s’ils obtiennent des informations d’identification de compte. »
Pour atténuer ces risques, il est recommandé aux utilisateurs de suivre des pratiques d’hygiène de mot de passe appropriées et de sécuriser leurs comptes avec une authentification à deux facteurs (2FA) pour empêcher les attaques de prise de contrôle de compte.
Le développement intervient au milieu d’une campagne de logiciels malveillants en cours qui exploite de fausses pages OnlyFans et des leurres de contenu pour adultes pour fournir un cheval de Troie d’accès à distance et un voleur d’informations appelé DCRat (ou DarkCrystal RAT), une version modifiée d’AsyncRAT.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« Dans les cas observés, les victimes ont été incitées à télécharger des fichiers ZIP contenant un chargeur VBScript exécuté manuellement », ont déclaré les chercheurs d’eSentire. a ditnotant que l’activité est en cours depuis janvier 2023.
« La convention de dénomination des fichiers suggère que les victimes ont été attirées à l’aide de photos explicites ou de contenu OnlyFans pour diverses actrices de films pour adultes. »
Cela fait également suite à la découverte d’une nouvelle variante VBScript d’un malware appelé GuLoader (alias CloudEyE) qui utilise des leurres à thème fiscal pour lancer des scripts PowerShell capables de récupérer et d’injecter Remcos RAT dans un processus Windows légitime.
« GuLoader est un chargeur de logiciels malveillants très évasif couramment utilisé pour fournir des voleurs d’informations et des outils d’administration à distance (RAT) », la société canadienne de cybersécurité a dit dans un rapport publié plus tôt ce mois-ci.
« GuLoader exploite des scripts ou des fichiers de raccourcis lancés par l’utilisateur pour exécuter plusieurs séries de commandes hautement obscurcies et de shellcode crypté. Le résultat est une charge utile de malware résidente en mémoire opérant dans un processus Windows légitime. »