ClickCease La campagne BatLoader encourage les faux téléchargements ChatGPT

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La campagne BatLoader encourage les faux téléchargements ChatGPT

Le 2 juin 2023 - L'équipe de relations publiques de TuxCare

Les experts de l'unité de réponse aux menaces (TRU) d'eSentire ont découvert une campagne BatLoader en cours qui utilise les annonces de recherche Google pour conduire des consommateurs imprudents vers de fausses pages web vantant des services basés sur l'IA tels que ChatGPT et Midjourney.

L'opération vise à tirer parti de la popularité de ces services d'IA, qui manquaient d'applications indépendantes jusqu'à ce que l'application iOS de ChatGPT soit publiée récemment. En conséquence, les acteurs de la menace ont découvert un moyen de tromper les consommateurs en les détournant vers de faux sites web qui font la promotion de programmes contrefaits.

Pour déployer le Redline Stealer, les attaquants ont utilisé des BatLoader déguisés en paquets MSIX Windows App Installer. Les victimes qui recherchaient "chatbpt" sur Google étaient dirigées vers une fausse page de téléchargement ChatGPT située sur hxxps://pcmartusa[.]com/gpt/. À leur insu, ces visiteurs ont été incités à installer un faux logiciel Windows ChatGPT en cliquant sur un bouton de la page d'atterrissage qui les envoyait vers un site de charge utile BatLoader au lieu de commencer le téléchargement.

Les chercheurs ont remarqué que l'installation de Chat-GPT-x64.msix a été téléchargée depuis le site job-lionserver[.]site. Le programme d'installation était signé numériquement par ASHANA GLOBAL LTD, ce qui indique qu'il s'agit d'un effort sincère. En outre, le paquet final a été créé par un russophone à l'aide de la version 20.2 d'Advanced Installer avec une licence professionnelle.

Lorsque les experts ont examiné le paquet dans AdvancedInstaller, ils ont découvert que lorsqu'il était exécuté, il lançait à la fois un fichier exécutable appelé ChatGPT.exe et un script PowerShell appelé Chat.ps1. Le programme d'installation a également été créé pour utiliser le logo ChatGPT et pour cibler certaines versions de bureau de Windows allant de la mise à jour d'octobre 2018 - 1809 à la mise à jour d'octobre 2022 - 22H2.

L'assistant Windows App Installer démarre le processus d'installation lorsque vous exécutez le fichier d'installation. Au lieu de télécharger un programme légal, le programme d'installation télécharge et exécute le RedLine Stealer à partir d'un serveur distant. Cette stratégie trompeuse vise à faire croire aux utilisateurs qu'ils ont installé avec succès un véritable programme ChatGPT. Dans le cadre de ce canular, une fenêtre contextuelle contenant la page web de ChatGPT intégrée dans une fenêtre de navigateur est présentée.

Le champ d'action de l'exécutable n'est pas encore entièrement défini.

Les sources de cet article comprennent un article paru dans InfoSecurityMagazine.

Résumé
La campagne BatLoader encourage les faux téléchargements ChatGPT
Nom de l'article
La campagne BatLoader encourage les faux téléchargements ChatGPT
Description
Les experts de l'unité de réponse aux menaces (TRU) d'eSentire ont découvert une campagne BatLoader en cours qui utilise les annonces de recherche Google.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information