Хакеры начали использовать ссылки для обмена данными в ChatGPT для распространения вредоносов

Злоумышленники используют функцию обмена контентом ChatGPT для отображения поддельных страниц с информацией о сбоях OpenAI, которые направляют пользователей на загрузку вредоносного ПО. Оно замаскировано под настольное приложение ChatGPT.

Кампания LLMShare, которую обнаружили в Push Security, использует рекламу Google, чтобы направлять пользователей, ищущих ChatGPT, на вредоносную страницу на chatgpt.com. Те, кто кликнул на рекламу, попадают на легитимную страницу ChatGPT, но вместо чата видят сообщение о сбое, утверждающее, что веб-версия недоступна и следует загрузить настольное приложение.

«В данный момент у нас высокая загрузка. Наш веб-сайт временно недоступен из-за большого количества пользователей. Загрузите наше настольное приложение, чтобы продолжить», — гласит поддельное сообщение.

В отличие от традиционных фишинговых страниц, размещаемых на подконтрольной злоумышленникам инфраструктуре, поддельное сообщение о сбое отображается через сам ChatGPT. Злоумышленники создали пользовательскую HTML-страницу, используя возможности рендеринга ChatGPT, и опубликовали её через общую ссылку chatgpt.com/s/, что позволило отображать поддельное уведомление о сбое с легитимного URL-адреса.

В Push Security отметили, что страница содержит элементы управления «Show code» и «Remix with ChatGPT», а это свидетельствует о том, что поддельное уведомление о сбое на самом деле генерируется из пользовательского HTML и CSS, отрисованных с помощью запроса чат-боту.

Если посетитель нажимает на кнопку загрузки, он попадает на веб-сайт openew[.]app, который имитирует портал загрузки настольных приложений OpenAI. Исследователи утверждают, что сайт использует маскировку для отображения контента только целевым жертвам. Когда платформы безопасности,