研究 最新消息 資安通報- 駭客利用假冒 ChatGPT 之網路釣魚攻擊威脅,請同仁提高警覺!

資安通報- 駭客利用假冒 ChatGPT 之網路釣魚攻擊威脅,請同仁提高警覺!

隨著 ChatGPT 的受歡迎程度持續上升,

ChatGPT也已成為駭客發起惡意軟體與網路釣魚攻擊的手段。

目前ChatGPT 只有一個官方網址 chat.openai.com,

且未提供任何作業系統版本的桌面或行動App,

建議需使用 ChatGPT 的使用者,必須特別提高警覺,

勿使用任何不明來源網頁或應用程式,以免遭到入侵攻擊。

 

 

詳情如下:

根據 Cyble Research and Intelligence Labs(CRIL)網路安全研究人員於近日的一份報告指出,駭客正在利用假冒的 ChatGPT,在 Windows 與 Android 平台上發送惡意軟體並發起網路釣魚攻擊,

試圖欺騙使用者存取有害及惡意內容,這些惡意活動可能造成受害者經濟損失,甚至會洩漏個人資訊而造成重大傷害。(原始情資來源:https://blog.cyble.com/2023/02/22/the-growing-threat-of-chatgpt-based-phishing-attacks/)

 

情資說明:

2022 年 11 月,OpenAI 推出 ChatGPT 迅速成為成長最快速的人工智慧工具之一,吸引了超過 1 億名的使用者。ChatGPT 透過存取大數據,可以回答範圍廣泛的問題,並幫助使用者提高工作效率,使其成為討論的熱門話題。

 

儘管 ChatGPT 已被尋求提高工作效率的合法使用者廣泛採用,但也成為各種威脅參與者所利用的對象,Cyble Research and Intelligence Labs(CRIL)已經確定了幾個實例,利用 ChatGPT 的流行熱潮來發送惡意軟體並進行其他網路攻擊。

CRIL 已檢測到多個網路釣魚網站,這些網站正在透過詐欺性 OpenAI 社交媒體頁面進行推廣,以傳播各種類型的惡意軟體。此外,一些釣魚網站正在冒充ChatGPT 竊取信用卡資訊。

各種 Android 惡意軟體亦正在利用 ChatGPT 的圖標與名稱,來誤導毫無戒心的使用者,使其誤認為是真實的應用程式,最終導致從 Android 設備竊取機敏資訊。

 

CRIL 已經確定了一個非官方的 ChatGPT 社交媒體頁面,該頁面擁有大量關注者及點讚,其中包含多篇關於 ChatGPT 與其他 OpenAI 工具的貼文。

該頁面似乎試圖透過混合內容(例如視頻與其他不相關的貼文)來建立可信度。然而仔細觀察,會發現頁面上的一些討論包含鏈結,這些鏈結會將使用者引導至冒充 ChatGPT 的釣魚頁面,並誘騙使用者將惡意檔案下載至受害者機器上。

 

另外,社交媒體上的另一篇文章還討論了 Jukebox,這是一種由 OpenAI 建立基於 AI 的工具,可增強音樂與音頻創作。但是,該貼文還包含一個指向另一個網域名稱「hxxps://chat-gpt-pc.online」的鏈結。

 

CRIL 調查與 OpenAI 及 ChatGPT 相關的各種誤植域名,發現它們被用於網路釣魚攻擊,並發現這些釣魚網站還散佈了幾個惡名昭著的惡意軟體系列,包括 Lumma Stealer、Aurora Stealer、clipper 等惡意軟體。

駭客複製了 ChatGPT 的網站,並將「TRY CHATGPT」按鈕鏈結替換為託管 Lumma Stealer 的惡意鏈結。

釣魚頁面上標有「TRY CHATGPT」的按鈕實際上是一個名為「Installer_3.64_win64_86-setup+manual.zip」的檔案下載鏈結,在這個壓縮檔案中,有一個名為「Installer_3.64_win64_86.exe」的檔案,它實際上是 Lumma stealer 的可執行檔案。

 

除了託管竊取器與惡意軟體之外,駭客還利用 ChatGPT 與基於 OpenAI 的誘餌來實施金融詐欺,透過建立偽造的 ChatGPT 相關支付頁面,以竊取受害者的金錢與信用卡資訊。

 

CRIL 同時已識別出多個使用 ChatGPT 圖示進行有害活動的假冒與惡意應用程式,這些應用程式屬於不同的惡意軟體系列,例如隱匿垃圾程式、廣告軟體、間諜軟體、帳單詐欺等。

此外,還發現了另外五個偽裝成 ChatGPT 的訊息詐欺應用程式,進行帳單詐欺,導致受害者金錢損失。除了上述惡意應用程式外,還發現了PUP應用程式,這些應用程式是假的,冒充 ChatGPT 並顯示廣告以賺取收入。

 

防護建議:

 

  • 避免從未知網站下載檔案。
  • 在連接的設備(包括 PC、筆電或行動裝置)上使用信賴的防毒或網路安全軟體。
  • 不要在未驗證其真實性的情況下,開啟不受信任的鏈結與電子郵件附檔。
  • 教育員工保護自己免受網路釣魚/不受信任的URL等威脅。
  • 監控網路層級的威脅指標,以阻止惡意軟體或資料洩漏。
  • 考慮在員工系統上啟用DLP解決方案。
  • 僅從 Google Play Store 或 iOS App Store 等官方應用商店下載與安裝軟體。
  • 盡可能使用強密碼,並強制執行多因子身份驗證。
  • 盡可能啟用指紋或臉部識別等生物識別安全功能,來解鎖行動設備。
  • 小心開啟透過簡訊或電子郵件發送到您手機的任何鏈結。
  • 確保在 Android 設備上啟用了 Google Play Protect。
  • 啟用任何權限時要小心。
  • 將設備、作業系統及應用程式保持最新狀態。

 

參考資料:

https://cybersecuritynews.com/fake-chatgpt/

https://www.twcert.org.tw/tw/cp-104-6949-979ee-1.html

 

相關媒體報導:

  • 駭客正在利用OpenAI的ChatGPT聊天機器人的熱潮,來發送適用於 Windows及Android的惡意軟體,或將毫無戒心的受害者引導至網路釣魚頁面。

(網址:https://www.bleepingcomputer.com/news/security/hackers-use-fake-chatgpt-apps-to-push-windows-android-malware/)

 

(資料來源:安碁資訊提供)