Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La campaña BatLoader fomenta las descargas falsas de ChatGPT
Obanla Opeyemi
2 de junio de 2023 - Equipo de expertos TuxCare
Los expertos de la Unidad de Respuesta a Amenazas (TRU) de eSentire han descubierto una campaña en curso de BatLoader que utiliza anuncios de búsqueda de Google para conducir a los consumidores incautos a páginas web falsas que promocionan servicios basados en IA como ChatGPT y Midjourney.
La operación pretende sacar provecho de la popularidad de estos servicios de IA, que carecían de aplicaciones independientes hasta que se lanzó últimamente la app de ChatGPT para iOS. Como resultado, los actores de amenazas han descubierto una forma de engañar a los consumidores desviándolos a sitios web falsos que promocionan programas falsificados.
Para desplegar el Redline Stealer, los atacantes utilizaron BatLoader camuflado como paquetes MSIX Windows App Installer. Las víctimas que buscaban "chatbpt" en Google eran redirigidas a una falsa página de descarga de ChatGPT ubicada en hxxps://pcmartusa[.]com/gpt/. Sin que estos visitantes lo supieran, se les engañaba para que instalaran un falso software ChatGPT de Windows haciendo clic en un botón de la página de destino que les enviaba a un sitio de BatLoader Payload en lugar de iniciar la descarga.
Los investigadores observaron que la instalación de Chat-GPT-x64.msix se descargó desde el sitio web job-lionserver[.] En particular, el instalador estaba firmado digitalmente por ASHANA GLOBAL LTD, lo que indica un esfuerzo genuino. Además, el paquete final fue creado por un hablante de ruso utilizando la versión 20.2 de Advanced Installer con una licencia profesional.
Cuando los expertos examinaron el paquete en AdvancedInstaller, descubrieron que cuando se ejecutaba, lanzaba tanto un archivo ejecutable llamado ChatGPT.exe como un script de PowerShell llamado Chat.ps1. El instalador también se creó para utilizar el logotipo de ChatGPT y para dirigirse a ciertas versiones de escritorio de Windows que abarcan desde la Actualización de octubre de 2018 - 1809 hasta la Actualización de octubre de 2022 - 22H2.
El asistente de Windows App Installer inicia el proceso de instalación al ejecutar el archivo instalador. En lugar de descargar un programa legal, el instalador descarga y ejecuta el RedLine Stealer desde un servidor remoto. Esta estrategia engañosa intenta engañar a los usuarios haciéndoles creer que han instalado con éxito un programa ChatGPT real. Como parte del engaño, se presenta una ventana emergente con la página web real de ChatGPT integrada dentro de una ventana del navegador.
Aún está por determinar el alcance total del funcionamiento del ejecutable.
Las fuentes de este artículo incluyen un artículo de InfoSecurityMagazine.
