技術支援
文件
登錄
聯繫我們
蝙蝠載入器活動助長虛假的ChatGPT下載
奧班拉·奧佩耶米
實施期間: 2023年6月 2 日 - TuxCare專家團隊
eSwhole 威脅回應單元 (TRU) 專家發現了一個正在進行的 BatLoader 活動,該活動使用 Google Search Ads 將粗心的消費者推向虛假網頁,宣傳基於 AI 的服務,如 ChatGPT 和 Midjourney。
該操作旨在利用這些AI服務的普及,這些服務在ChatGPT的iOS應用程式最近發佈之前缺乏獨立的應用程式。因此,威脅行為者發現了一種欺騙消費者的方法,方法是將消費者轉移到宣傳假冒程式的虛假網站。
為了部署Redline Stealer,攻擊者使用了偽裝成MSIX Windows應用安裝程式包的BatLoader。在Google上搜索「chatbpt」的受害者被路由到位於 hxxps://pcmartusa[.]上的虛假ChatGPT下載頁面。com/gpt/.這些訪問者不知道的是,他們被誘騙安裝偽造的Windows ChatGPT軟體,方法是單擊登錄頁面上的按鈕,將他們發送到BatLoader Payload網站,而不是開始下載。
研究人員注意到,Chat-GPT-x64.msix 安裝是從域 job-lionserver[.] 下載的。網站。值得注意的是,安裝程式由ASHANA GLOBAL LTD進行數字簽名,表明瞭真正的努力。此外,最終軟體包由講俄語的人使用具有專業許可證的高級安裝程式版本 20.2 創建。
當專家在AdvancedInstaller中檢查該軟體包時,他們發現當它被執行時,它會啟動一個名為ChatGPT的可執行檔.exe一個名為Chat.ps1的PowerShell腳本。還創建了安裝程式以使用 ChatGPT 徽標並針對從 2018 年 10 月更新 – 1809 到 2022 年 10 月更新 – 22H2 的某些 Windows 桌面版本。
Windows 應用安裝程式精靈在執行安裝程式檔時啟動安裝過程。安裝程式不會下載合法程式,而是從遠端伺服器下載並運行 RedLine 竊取程式。這種欺騙性策略試圖欺騙使用者,讓他們認為他們已經成功安裝了真正的 ChatGPT 程式。作為騙局的一部分,會出現一個彈出視窗,其中包含集成在瀏覽器視窗中的實際 ChatGPT 網頁。
可執行檔的整個功能範圍尚未確定。
這篇文章的來源包括 InfoSecurity雜誌上的一篇文章。
