BatLoader-Kampagne fördert falsche ChatGPT-Downloads
Die Experten der eSentire Threat Response Unit (TRU) haben eine laufende BatLoader-Kampagne entdeckt, die Google-Suchanzeigen nutzt, um ahnungslose Verbraucher auf gefälschte Webseiten zu leiten, die KI-basierte Dienste wie ChatGPT und Midjourney anbieten.
Die Operation zielt darauf ab, aus der Popularität dieser KI-Dienste Kapital zu schlagen, für die es bis zur jüngsten Veröffentlichung der iOS-App von ChatGPT keine unabhängigen Anwendungen gab. Infolgedessen haben die Bedrohungsakteure einen Weg gefunden, Verbraucher zu täuschen, indem sie sie auf falsche Websites umleiten, die für gefälschte Programme werben.
Um den Redline Stealer zu verteilen, verwendeten die Angreifer BatLoader, die als MSIX Windows App Installer-Pakete getarnt waren. Opfer, die bei Google nach "chatbpt" suchten, wurden auf eine gefälschte ChatGPT-Download-Seite umgeleitet, die sich unter hxxps://pcmartusa[.]com/gpt/ befindet. Ohne es zu wissen, wurden diese Besucher dazu verleitet, eine gefälschte Windows-ChatGPT-Software zu installieren, indem sie auf der Zielseite auf eine Schaltfläche klickten, die sie zu einer BatLoader Payload-Website weiterleitete, anstatt den Download zu starten.
Die Forscher stellten fest, dass die Installation von Chat-GPT-x64.msix von der Domain job-lionserver[.]site heruntergeladen wurde. Bemerkenswert ist, dass das Installationsprogramm von ASHANA GLOBAL LTD digital signiert wurde, was auf einen echten Versuch hindeutet. Außerdem wurde das endgültige Paket von einem russischsprachigen Benutzer mit Advanced Installer Version 20.2 mit einer professionellen Lizenz erstellt.
Als Experten das Paket in AdvancedInstaller untersuchten, entdeckten sie, dass es bei der Ausführung sowohl eine ausführbare Datei namens ChatGPT.exe als auch ein PowerShell-Skript namens Chat.ps1 starten würde. Das Installationsprogramm wurde außerdem so erstellt, dass es das ChatGPT-Logo verwendet und auf bestimmte Windows-Desktop-Versionen ausgerichtet ist, die vom Oktober 2018 Update - 1809 bis zum Oktober 2022 Update - 22H2 reichen.
Der Windows App Installer-Assistent startet den Installationsvorgang, wenn Sie die Installationsdatei ausführen. Anstatt ein legales Programm herunterzuladen, lädt das Installationsprogramm den RedLine Stealer von einem Remote-Server herunter und führt ihn aus. Mit dieser betrügerischen Strategie wird versucht, Benutzern vorzugaukeln, dass sie ein echtes ChatGPT-Programm erfolgreich installiert haben. Als Teil der Täuschung wird ein Popup-Fenster mit der tatsächlichen ChatGPT-Webseite in einem Browser-Fenster eingeblendet.
Der gesamte Funktionsumfang der ausführbaren Datei ist noch nicht bekannt.
Zu den Quellen für diesen Artikel gehört ein Artikel im InfoSecurityMagazine.