Support technique
Documentation
Connexion
Nous contacter
La campagne BatLoader encourage les faux téléchargements ChatGPT
Obanla Opeyemi
Le 2 juin 2023 - L'équipe d'experts de TuxCare
Les experts de l'unité de réponse aux menaces (TRU) d'eSentire ont découvert une campagne BatLoader en cours qui utilise les annonces de recherche Google pour conduire des consommateurs imprudents vers de fausses pages web vantant des services basés sur l'IA tels que ChatGPT et Midjourney.
L'opération vise à tirer parti de la popularité de ces services d'IA, qui manquaient d'applications indépendantes jusqu'à ce que l'application iOS de ChatGPT soit publiée récemment. En conséquence, les acteurs de la menace ont découvert un moyen de tromper les consommateurs en les détournant vers de faux sites web qui font la promotion de programmes contrefaits.
Pour déployer le Redline Stealer, les attaquants ont utilisé des BatLoader déguisés en paquets MSIX Windows App Installer. Les victimes qui recherchaient "chatbpt" sur Google étaient dirigées vers une fausse page de téléchargement ChatGPT située sur hxxps://pcmartusa[.]com/gpt/. À leur insu, ces visiteurs ont été incités à installer un faux logiciel Windows ChatGPT en cliquant sur un bouton de la page d'atterrissage qui les envoyait vers un site de charge utile BatLoader au lieu de commencer le téléchargement.
Les chercheurs ont remarqué que l'installation de Chat-GPT-x64.msix a été téléchargée depuis le site job-lionserver[.]site. Le programme d'installation était signé numériquement par ASHANA GLOBAL LTD, ce qui indique qu'il s'agit d'un effort sincère. En outre, le paquet final a été créé par un russophone à l'aide de la version 20.2 d'Advanced Installer avec une licence professionnelle.
Lorsque les experts ont examiné le paquet dans AdvancedInstaller, ils ont découvert que lorsqu'il était exécuté, il lançait à la fois un fichier exécutable appelé ChatGPT.exe et un script PowerShell appelé Chat.ps1. Le programme d'installation a également été créé pour utiliser le logo ChatGPT et pour cibler certaines versions de bureau de Windows allant de la mise à jour d'octobre 2018 - 1809 à la mise à jour d'octobre 2022 - 22H2.
L'assistant Windows App Installer démarre le processus d'installation lorsque vous exécutez le fichier d'installation. Au lieu de télécharger un programme légal, le programme d'installation télécharge et exécute le RedLine Stealer à partir d'un serveur distant. Cette stratégie trompeuse vise à faire croire aux utilisateurs qu'ils ont installé avec succès un véritable programme ChatGPT. Dans le cadre de ce canular, une fenêtre contextuelle contenant la page web de ChatGPT intégrée dans une fenêtre de navigateur est présentée.
Le champ d'action de l'exécutable n'est pas encore entièrement défini.
Les sources de cet article comprennent un article paru dans InfoSecurityMagazine.
