OpenAI ChatGPT ve Midjourney gibi üretici yapay zeka hizmetleri için kötü amaçlı Google Arama reklamları, RedLine Stealer kötü amaçlı yazılımını dağıtmak için tasarlanmış bir BATLOADER kampanyasının parçası olarak kullanıcıları kabataslak web sitelerine yönlendirmek için kullanılıyor.
“Her iki AI hizmeti de son derece popülerdir ancak birinci taraf bağımsız uygulamalardan yoksundur (yani, Midjourney Discord’u kullanırken kullanıcılar web arayüzleri aracılığıyla ChatGPT ile arabirim oluşturur),” eSentire söz konusu bir analizde.
“Bu boşluk, AI uygulama arayanları sahte uygulamaları tanıtan web sayfalarını taklit etmeye yönlendirmek isteyen tehdit aktörleri tarafından istismar edildi.”
BATLOADER, arama motorlarında belirli anahtar kelimeleri arayan kullanıcıların, tıklandığında onları kötü amaçlı yazılım barındıran hileli açılış sayfalarına yönlendiren sahte reklamlar gösterdiği, arabadan indirmeler yoluyla yayılan bir yükleyici kötü amaçlı yazılımdır.
eSentire’e göre yükleyici dosyası, uzak bir sunucudan RedLine Stealer’ı indirip yükleyen yürütülebilir bir dosya (ChatGPT.exe veya midjourney.exe) ve bir PowerShell betiği (Chat.ps1 veya Chat-Ready.ps1) ile donatılmıştır.
Yükleme tamamlandıktan sonra ikili, Microsoft Edge’i kullanır Web Görünümü2 chat.openai’yi yüklemek için[.]com veya www.midjourney[.]com – meşru ChatGPT ve Midjourney URL’leri – herhangi bir kırmızı bayrak uyandırmamak için açılır bir pencerede.
Düşmanın, kötü amaçlı reklamlar sunmak ve nihayetinde RedLine Stealer kötü amaçlı yazılımını bırakmak için ChatGPT ve Midjourney temalı yemleri kullanması da geçen hafta Trend Micro tarafından vurgulandı.
Bu, BATLOADER’ın arkasındaki operatörlerin kötü amaçlı yazılım dağıtmak için yapay zeka çılgınlığından ilk kez yararlanmaları değil. Mart 2023’te eSentire, konuşlandırmak için ChatGPT tuzaklarından yararlanan benzer bir dizi saldırıyı ayrıntılı olarak açıkladı. Vidar Hırsızı ve Ursnif.
Siber güvenlik şirketi ayrıca, Google Arama reklamlarının kötüye kullanımının 2023’ün başlarındaki zirvesinden düştüğüne dikkat çekerek, teknoloji devinin istismarı azaltmak için aktif adımlar attığını öne sürdü.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Bulgular Securonix’ten haftalar sonra gelir açıkta Aralık 2022 ile Mart 2023 arasında kripto para birimi sektörünü hedefleyen OCX#HARVESTER adlı bir kimlik avı kampanyası More_eggs (diğer adıyla Golden Chickens), ek yükler sunmak için kullanılan bir JavaScript indiricisi.
eSentire, Ocak ayında, hizmet olarak kötü amaçlı yazılımın (MaaS) ana operatörlerinden birinin kimliğini Kanada, Montreal’de bulunan bir bireye kadar takip etti. Grupla ilişkili ikinci tehdit aktörü o zamandan beri tanımlanmış Jack takma adını kullanan bir Rumen vatandaşı olarak.
