Sahte ChatGPT uygulaması tuzağı Windows ve Mac kullanıcılarını hedef aldı

Push Security araştırmacıları, "LLMShare" adını verdikleri yeni bir saldırı yöntemini ortaya çıkardı. Saldırganlar bu yöntemde güvenilir görünen alan adlarını kullanarak kullanıcıları bilgi çalan zararlı yazılımlara yönlendiriyor.

Bu sayfalar ilk bakışta normal görünüyor. Ancak amaç, kullanıcıyı masaüstü uygulamasını indirmeye ikna etmek.

Kullanıcı indirme düğmesine bastığında farklı bir alan adına yönlendiriliyor. Burada OpenAI'ın masaüstü uygulamasını taklit eden sahte bir site yer alıyor.

Bu site üzerinden hem Windows hem de macOS kullanıcılarını hedefleyen zararlı dosyalar dağıtılıyor.

Araştırmacılara göre saldırıda kullanılan site, güvenlik analizlerinden kaçmak için bazı kontroller yapıyor. Sistem, ziyaretçinin gerçek bir bilgisayar mı yoksa güvenlik araştırmaları için kullanılan sanal bir ortam mı kullandığını anlamaya çalışıyor.

BleepingComputer'ın testlerinde Windows sürümünün çeşitli kontroller yaptığı görüldü. Yazılım, güvenlik araçlarına ait kayıtları arıyor ve çalıştığı ortamın sanal makine olup olmadığını anlamaya çalışıyor.

macOS tarafında ise kurbanın cihazına Odyssey Stealer adlı bilgi hırsızı zararlı yazılım yükleniyor. Bu yazılım cihazdaki hassas verileri toplamayı hedefliyor.

Bunun son örneklerinden biri GreyVibe adlı tehdit grubu oldu. Grup, Ukrayna'daki bazı altyapıları hedef alan saldırılar düzenledi.

Araştırmacılara göre GreyVibe, yapay zekadan yararlanarak teknik eksiklerini kapatıyor, kod gizleme araçları hazırlıyor ve daha gerçekçi sosyal mühendislik içerikleri üretiyor.

Grup ayrıca PhantomMail adlı yöntemle Ukrayna devlet kurumlarını taklit eden oltalama e-postaları gönderdi. PhantomClick ile kullanıcıları sahte CAPTCHA ekranlarına yönlendirdi ve zararlı PowerShell komutları çalıştırdı. PrincessClub adlı yöntemle de Android casus yazılımı içeren sahte yetişkin içerik siteleri kurdu.