ClickCease La campaña BatLoader fomenta las descargas falsas de ChatGPT

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

La campaña BatLoader fomenta las descargas falsas de ChatGPT

2 de junio de 2023 - Equipo de RRPP de TuxCare

Los expertos de la Unidad de Respuesta a Amenazas (TRU) de eSentire han descubierto una campaña en curso de BatLoader que utiliza anuncios de búsqueda de Google para conducir a los consumidores incautos a páginas web falsas que promocionan servicios basados en IA como ChatGPT y Midjourney.

La operación pretende sacar provecho de la popularidad de estos servicios de IA, que carecían de aplicaciones independientes hasta que se lanzó últimamente la app de ChatGPT para iOS. Como resultado, los actores de amenazas han descubierto una forma de engañar a los consumidores desviándolos a sitios web falsos que promocionan programas falsificados.

Para desplegar el Redline Stealer, los atacantes utilizaron BatLoader camuflado como paquetes MSIX Windows App Installer. Las víctimas que buscaban "chatbpt" en Google eran redirigidas a una falsa página de descarga de ChatGPT ubicada en hxxps://pcmartusa[.]com/gpt/. Sin que estos visitantes lo supieran, se les engañaba para que instalaran un falso software ChatGPT de Windows haciendo clic en un botón de la página de destino que les enviaba a un sitio de BatLoader Payload en lugar de iniciar la descarga.

Los investigadores observaron que la instalación de Chat-GPT-x64.msix se descargó desde el sitio web job-lionserver[.] En particular, el instalador estaba firmado digitalmente por ASHANA GLOBAL LTD, lo que indica un esfuerzo genuino. Además, el paquete final fue creado por un hablante de ruso utilizando la versión 20.2 de Advanced Installer con una licencia profesional.

Cuando los expertos examinaron el paquete en AdvancedInstaller, descubrieron que cuando se ejecutaba, lanzaba tanto un archivo ejecutable llamado ChatGPT.exe como un script de PowerShell llamado Chat.ps1. El instalador también se creó para utilizar el logotipo de ChatGPT y para dirigirse a ciertas versiones de escritorio de Windows que abarcan desde la Actualización de octubre de 2018 - 1809 hasta la Actualización de octubre de 2022 - 22H2.

El asistente de Windows App Installer inicia el proceso de instalación al ejecutar el archivo instalador. En lugar de descargar un programa legal, el instalador descarga y ejecuta el RedLine Stealer desde un servidor remoto. Esta estrategia engañosa intenta engañar a los usuarios haciéndoles creer que han instalado con éxito un programa ChatGPT real. Como parte del engaño, se presenta una ventana emergente con la página web real de ChatGPT integrada dentro de una ventana del navegador.

Aún está por determinar el alcance total del funcionamiento del ejecutable.

Las fuentes de este artículo incluyen un artículo de InfoSecurityMagazine.

Resumen
La campaña BatLoader fomenta las descargas falsas de ChatGPT
Nombre del artículo
La campaña BatLoader fomenta las descargas falsas de ChatGPT
Descripción
Los expertos de la Unidad de Respuesta a Amenazas (TRU) de eSentire han descubierto una campaña en curso de BatLoader que utiliza anuncios de búsqueda de Google.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín