سوءاستفاده از قابلیت اشتراک‌گذاری ChatGPT برای انتشار بدافزار

کمیته رکن چهارم – پژوهشگران امنیت سایبری نسبت به کارزار جدیدی هشدار داده‌اند که در آن مهاجمان با سوءاستفاده از قابلیت اشتراک‌گذاری محتوای ChatGPT، کاربران را به دانلود بدافزارهایی با ظاهر نسخه دسکتاپ این سرویس ترغیب می‌کنند.

به گزارش کمیته رکن چهارم، شرکت Push Security اعلام کرده است که این کارزار با نام LLMShare ردیابی می‌شود و از تبلیغات گوگل برای جذب کاربرانی استفاده می‌کند که به دنبال دسترسی به ChatGPT هستند. قربانیان پس از کلیک روی این تبلیغات به صفحات اشتراک‌گذاری‌شده ChatGPT در دامنه رسمی chatgpt.com هدایت می‌شوند؛ موضوعی که باعث می‌شود محتوای فریبنده از یک آدرس معتبر و مورد اعتماد نمایش داده شود.

در این صفحات، کاربران به جای مشاهده یک گفت‌وگوی عادی با ChatGPT با پیامی جعلی درباره اختلال سرویس مواجه می‌شوند. در این پیام ادعا می‌شود به دلیل حجم بالای کاربران، نسخه تحت وب در دسترس نیست و برای ادامه استفاده باید نسخه دسکتاپ برنامه را دانلود کنند.

بررسی‌ها نشان می‌دهد مهاجمان با استفاده از قابلیت رندر HTML و CSS در ChatGPT، صفحات سفارشی طراحی کرده و آن‌ها را از طریق لینک‌های اشتراک‌گذاری‌شده منتشر کرده‌اند. وجود گزینه‌هایی مانند «نمایش کد» و «بازسازی با ChatGPT» نشان می‌دهد این صفحات از طریق پرامپت‌های اختصاصی تولید و توسط زیرساخت رسمی ChatGPT نمایش داده می‌شوند.

در صورت کلیک روی گزینه دانلود، کاربران به وب‌سایتی هدایت می‌شوند که خود را به عنوان درگاه رسمی دریافت نرم‌افزار OpenAI معرفی می‌کند. پژوهشگران می‌گویند این وب‌سایت از تکنیک پنهان‌سازی محتوا استفاده می‌کند؛ به این معنا که محتوای مخرب تنها برای قربانیان واقعی نمایش داده می‌شود و سامانه‌های امنیتی یا ابزارهای تحلیل وب معمولاً محتوایی بی‌خطر مشاهده می‌کنند.

این وب‌سایت نسخه‌هایی برای ویندوز و مک ارائه می‌دهد که پس از دانلود، بدافزار را روی دستگاه قربانی نصب می‌کنند. اگرچه ماهیت دقیق بدافزار نهایی هنوز مشخص نشده است، اما بررسی نمونه‌های مشابه نشان می‌دهد این‌گونه عملیات‌ها معمولاً با هدف سرقت اطلاعات، گذرواژه‌ها، کوکی‌های مرورگر و سایر داده‌های حساس کاربران انجام می‌شوند.

بررسی نسخه ویندوز در محیط‌های تحلیل امنیتی نشان داده است که برنامه پس از اجرا تلاش می‌کند تشخیص دهد آیا روی یک رایانه واقعی اجرا می‌شود یا در محیط‌های مجازی و آزمایشگاهی؛ روشی که معمولاً برای فرار از شناسایی توسط پژوهشگران امنیتی به کار می‌رود.

پژوهشگران همچنین موارد مشابهی را در سرویس Claude متعلق به شرکت Anthropic مشاهده کرده‌اند. در این حملات، مهاجمان از صفحات اشتراک‌گذاری‌شده برای میزبانی صفحات فریبنده استفاده می‌کنند و کاربران را به اجرای دستورات مخرب یا دانلود فایل‌های آلوده سوق می‌دهند.

این نخستین بار نیست که قابلیت‌های اشتراک‌گذاری در پلتفرم‌های هوش مصنوعی مورد سوءاستفاده قرار می‌گیرند. در ماه‌های گذشته نیز مواردی از استفاده مهاجمان از ChatGPT، Claude و Grok برای توزیع بدافزار، اجرای حملات فیشینگ و فریب کاربران گزارش شده است.

کارشناسان هشدار می‌دهند معتبر بودن یک دامنه اینترنتی به تنهایی تضمین‌کننده امنیت محتوا نیست و کاربران باید حتی هنگام استفاده از سرویس‌های شناخته‌شده نیز نسبت به درخواست‌های دانلود نرم‌افزار، اجرای فایل یا وارد کردن اطلاعات حساس با دقت و احتیاط عمل کنند.

منبع: BleepingComputer