Ngày 19 tháng 5 năm 2023Ravie LakshmananTrí tuệ nhân tạo / Mối đe dọa mạng
Quảng cáo tìm kiếm độc hại của Google cho các dịch vụ AI tổng quát như OpenAI ChatGPT và MidjTHER đang được sử dụng để hướng người dùng đến các trang web sơ sài như một phần của chiến dịch BATLOADER được thiết kế để phân phối phần mềm độc hại RedLine Stealer.
“Cả hai dịch vụ AI đều cực kỳ phổ biến nhưng thiếu các ứng dụng độc lập của bên thứ nhất (nghĩa là người dùng giao tiếp với ChatGPT qua giao diện web của họ trong khi MidjTHER sử dụng Discord)”, eSentire cho biết trong một phân tích.
“Khoảng trống này đã bị khai thác bởi những kẻ đe dọa đang tìm cách thúc đẩy những người tìm kiếm ứng dụng AI đến các trang web mạo danh quảng bá ứng dụng giả mạo.”
BATLOADER là một phần mềm độc hại trình tải được lan truyền thông qua các lượt tải xuống theo ổ đĩa nơi người dùng tìm kiếm các từ khóa nhất định trên công cụ tìm kiếm được hiển thị quảng cáo không có thật mà khi được nhấp vào sẽ chuyển hướng họ đến các trang đích lừa đảo lưu trữ phần mềm độc hại.
Tệp trình cài đặt, trên mỗi eSentire, được gian lận bằng tệp thi hành (ChatGPT.exe hoặc midjourney.exe) và tập lệnh PowerShell (Chat.ps1 hoặc Chat-Ready.ps1) tải xuống và tải RedLine Stealer từ máy chủ từ xa.
Sau khi cài đặt hoàn tất, tệp nhị phân sử dụng Microsoft Edge WebView2 để tải chat.openai[.]com hoặc www.midjTHER[.]com – URL ChatGPT và Midjourney hợp pháp – trong cửa sổ bật lên để không đưa ra bất kỳ dấu hiệu đỏ nào.
Việc đối thủ sử dụng ChatGPT và các mồi nhử theo chủ đề Midjourney để phân phát quảng cáo độc hại và cuối cùng thả phần mềm độc hại RedLine Stealer cũng đã được Trend Micro nhấn mạnh vào tuần trước.
Đây không phải là lần đầu tiên các nhà khai thác đằng sau BATLOADER tận dụng cơn sốt AI để phát tán phần mềm độc hại. Vào tháng 3 năm 2023, eSentire đã trình bày chi tiết một loạt các cuộc tấn công tương tự sử dụng mồi nhử ChatGPT để triển khai Vidar Stealer và Ursnif.
Công ty an ninh mạng chỉ ra thêm rằng việc lạm dụng quảng cáo Tìm kiếm của Google đã giảm so với mức cao nhất vào đầu năm 2023, cho thấy gã khổng lồ công nghệ đang thực hiện các bước tích cực để hạn chế việc khai thác.
Các phát hiện được đưa ra vài tuần sau khi Securonix phát hiện ra một chiến dịch lừa đảo có tên OCX#HARVESTER nhắm mục tiêu vào lĩnh vực tiền điện tử từ tháng 12 năm 2022 đến tháng 3 năm 2023 với More_eggs (còn gọi là Golden Chickens), một trình tải xuống JavaScript được sử dụng để phân phát các tải trọng bổ sung.
eSentire, vào tháng 1, đã truy tìm danh tính của một trong những nhà điều hành chính của phần mềm độc hại dưới dạng dịch vụ (MaaS) cho một cá nhân ở Montreal, Canada. Kể từ đó, tác nhân đe dọa thứ hai có liên quan đến nhóm đã được xác định là một công dân Romania có bí danh Jack.
