Lažna internet stranica koja oponaša zvaničnu stranicu za preuzimanje ChatGPT aplikacije korištena je za širenje malvera namijenjenog krađi lozinki, podataka iz internet preglednika, kripto novčanika i drugih osjetljivih informacija.
Istraživači kompanije Malwarebytes otkrili su da domen openew[.]app veoma uvjerljivo imitira OpenAI stranicu za preuzimanje ChatGPT aplikacije. Korisnicima su na toj stranici nuđene navodne verzije aplikacije za Windows i macOS, ali se iza njih nije nalazio legitimni softver.
Različit malver za različite sisteme
Prema nalazima istraživača, korisnici Windows uređaja preuzimali su malver namijenjen krađi lozinki, dok su korisnici macOS-a dobijali Odyssey Stealer, zlonamjerni softver povezan sa poznatom AMOS, odnosno Atomic Stealer porodicom malvera.
Ova kampanja posebno zabrinjava jer su napadači koristili različite vrste malvera u zavisnosti od operativnog sistema. Na taj način su napade prilagođavali uređajima i podacima do kojih su željeli doći.
Krađa lozinki, sesija i kripto podataka
Na Windows uređajima malver uspostavlja vezu sa serverima koje kontrolišu napadači, čime se omogućava prikupljanje i slanje podataka sa zaraženog računara.
Na macOS uređajima Odyssey Stealer pokušava prikupiti sačuvane lozinke, kolačiće sesija, podatke iz Telegram aplikacije, informacije iz internet preglednika, kao i podatke iz kripto novčanika.
Jedna od najopasnijih funkcija macOS verzije jeste pokušaj zamjene legitimnih aplikacija za upravljanje kripto novčanicima, među kojima su Ledger Live i Trezor Suite. Umjesto originalnih aplikacija, korisnicima se mogu podmetnuti modifikovane verzije pod kontrolom napadača. Ukoliko ih korisnik kasnije pokrene, rizikuje da hakerima nesvjesno omogući pristup svojim kripto sredstvima.
Zvanični izvori nisu bili pogođeni
Korisnici koji su ChatGPT preuzimali sa zvanične OpenAI stranice ili putem Microsoft Store-a nisu bili meta ove kampanje.
Riziku su, međutim, bili izloženi oni koji su aplikaciju tražili preko internet pretraživača i klikali na oglase, sumnjive linkove ili nepoznate rezultate pretrage. Na taj način mogli su napadačima otkriti pristupne podatke, sačuvane lozinke, aktivne sesije u browseru i druge osjetljive informacije, uključujući podatke povezane s kripto novčanicima.
Popularnost AI alata iskorištena za prevaru
Istraživači navode da je nagli rast popularnosti AI alata, među kojima je i ChatGPT, stvorio pogodno tlo za ovakve vrste prevara.
Mnogi korisnici prvi put preuzimaju aplikacije zasnovane na vještačkoj inteligenciji i često ih traže preko pretraživača, oglasa, YouTube linkova ili objava na društvenim mrežama. Napadači upravo to koriste, praveći stranice koje izgledaju gotovo identično originalima.
Cilj je navesti korisnike da, umjesto zvanične aplikacije, instaliraju zlonamjerni softver.
Šta uraditi ako ste instalirali lažnu aplikaciju
Stručnjaci upozoravaju da ChatGPT treba preuzimati isključivo sa zvaničnih OpenAI stranica ili preko Microsoft Store-a.
Korisnicima koji sumnjaju da su instalirali lažnu aplikaciju savjetuje se da odmah promijene lozinke za važne naloge, odjave aktivne sesije, zamijene API i pristupne ključeve, provjere bankovne račune i platne kartice, te po potrebi prebace sredstva iz kripto novčanika na siguran uređaj.
U ozbiljnijim slučajevima preporučuje se i potpuna reinstalacija operativnog sistema, kako bi se osiguralo da je malver u potpunosti uklonjen.
