黑客利用大语言模型共享对话窃取密码与加密货币
- 浏览次数 558
- 喜欢 0
HackerNews 编译,转载请注明出处:
近期出现了一种新的恶意软件攻击活动,黑客通过利用合法的AI平台,直接向毫无防备的用户传播恶意代码。
攻击详情
攻击者通过谷歌搜索的赞助结果,将用户引导至伪造的ChatGPT和DeepSeek共享聊天链接。这些用户原本可能只是在搜索常见的macOS故障排除方法,例如“如何清理Mac存储空间”。
这些共享聊天看似提供了有用的系统操作指南,但实际上隐藏了用于入侵目标设备的恶意指令。
攻击始于用户接触到一条看似正规的共享对话,该对话会给出清理Mac存储空间的分步教程。
但教程中嵌有Base64编码指令,一旦执行,就会下载并运行一款复杂的多阶段恶意软件程序。
这种手法的狡猾之处在于,它绕过了AI平台通常实施的安全检查,使攻击者能够通过官方渠道直接向用户传递具有针对性的恶意指令。
感染流程始于一个bash脚本,该脚本会伪装成凭据验证弹窗,诱导用户输入系统密码。密码一旦被窃取,恶意软件便会借此提升权限,并从攻击者控制的服务器下载主恶意程序二进制文件。
Breakpoint Security的安全分析师将此样本识别为Shamus——一种已知的信息窃取和加密货币盗窃程序,已在安全社区中被广泛记录。
复杂策略
该恶意软件的复杂性体现在其多层编码和检测规避策略上。它结合算术编码、XOR编码和定制的6位解码器,以隐藏恶意代码,从而避免被分析工具发现。这种混淆手段使得安全研究人员仅通过静态分析极难识别其真实功能。
一旦安装成功,恶意软件会通过创建在系统启动时自动运行的LaunchDaemon,实现持久化系统访问。这确保了即使用户重启计算机,恶意软件仍能保持访问权限。其核心功能针对多类敏感数据,包括从Chrome、Firefox以及其他12款基于Chromium的浏览器中窃取Cookie和密码。
威胁还延伸至加密货币钱包,该恶意软件专门针对15种不同的桌面和硬件钱包应用程序,包括Ledger Live、Trezor Suite、Exodus、Coinomi、Electrum和Bitcoin Core等。此外,它还会窃取整个macOS钥匙串数据库、Telegram会话数据、VPN配置文件以及桌面和Documents文件夹中的文件。
在数据收集完成后,所有窃取的信息会被压缩,并通过加密通信传输到攻击者的命令与控制服务器。
这一攻击活动代表了恶意软件传播方式的复杂进化,展示了威胁行为者如何不断寻找新方法来绕过安全防护措施,入侵用户系统。