기술 지원
문서
로그인
문의하기
허위 ChatGPT 다운로드를 조장하는 BatLoader 캠페인
오반라 오페예미
2023년 6월 2일 TuxCare 전문가 팀
eSentire 위협 대응팀(TRU) 전문가들은 Google 검색 광고를 사용하여 순진한 소비자를 ChatGPT 및 Midjourney와 같은 AI 기반 서비스를 선전하는 가짜 웹 페이지로 유도하는 지속적인 배트래더(BatLoader) 캠페인을 발견했습니다.
이 작전은 최근 ChatGPT의 iOS 앱이 출시되기 전까지 독립적인 애플리케이션이 부족했던 이러한 AI 서비스의 인기를 이용하는 것을 목표로 합니다. 그 결과, 위협 공격자들은 위조 프로그램을 홍보하는 가짜 웹사이트로 유도하여 소비자를 속일 수 있는 방법을 발견했습니다.
공격자는 레드라인 스틸러를 배포하기 위해 MSIX 윈도우 앱 인스톨러 패키지로 위장한 배틀로더를 사용했습니다. 구글에서 "chatbpt"를 검색한 피해자들은 hxxps://pcmartusa[.]com/gpt/에 있는 가짜 ChatGPT 다운로드 페이지로 이동했습니다. 방문자들은 자신도 모르게 랜딩 페이지의 버튼을 클릭하여 다운로드를 시작하는 대신 BatLoader 페이로드 사이트로 이동하여 가짜 Windows ChatGPT 소프트웨어를 설치하도록 속아 넘어갔습니다.
연구원들은 Chat-GPT-x64.msix 설치가 job-lionserver[.]라는 도메인에서 다운로드된 것을 발견했습니다. 특히 이 인스톨러는 ASHANA GLOBAL LTD에서 디지털 서명을 한 것으로 보아 진짜임을 알 수 있습니다. 또한 최종 패키지는 러시아어 사용자가 전문가 라이선스가 있는 고급 설치 프로그램 버전 20.2를 사용하여 만들었습니다.
전문가들이 AdvancedInstaller에서 이 패키지를 조사한 결과, 이 패키지가 실행되면 ChatGPT.exe라는 실행 파일과 Chat.ps1이라는 파워셸 스크립트가 모두 실행되는 것을 발견했습니다. 또한 이 인스톨러는 ChatGPT 로고를 사용하며 2018년 10월 업데이트 1809부터 2022년 10월 업데이트 22H2에 이르는 특정 Windows 데스크톱 버전을 대상으로 만들어졌습니다.
설치 파일을 실행하면 Windows 앱 설치 마법사가 설치 프로세스를 시작합니다. 설치 프로그램은 합법적인 프로그램을 다운로드하는 대신 원격 서버에서 RedLine Stealer를 다운로드하여 실행합니다. 이 속임수 전략은 사용자가 실제 ChatGPT 프로그램을 성공적으로 설치했다고 생각하도록 속이려고 시도합니다. 이 사기의 일부로 브라우저 창에 실제 ChatGPT 웹 페이지가 통합된 팝업 창이 표시됩니다.
실행 파일의 전체 기능 범위는 아직 확정되지 않았습니다.
이 글의 출처는 InfoSecurityMagazine의 기사입니다.
