Criminosos começaram a usar um recurso legítimo do ChatGPT para criar páginas falsas que simulam uma interrupção nos serviços da OpenAI. Essas páginas podem enganar o usuário e convencer a baixar um aplicativo falso que é um malware capaz de comprometer dados e controlar o computador.
Como Funciona o Golpe
A campanha, chamada LLMShare, foi descoberta pela empresa de segurança Push Security. Os hackers compram anúncios no Google direcionados a pessoas que procuram pelo chat. Ao clicarem nesses anúncios, os usuários são levados a links legítimos hospedados no domínio oficial, que exibem uma mensagem falsa informando que a versão web está indisponível devido ao alto volume de tráfego naquele momento.
Essa mensagem sugere que o usuário baixe um aplicativo para continuar usando o serviço. No entanto, o botão de download redireciona para um site falso que usa técnicas sofisticadas para esconder o conteúdo malicioso de ferramentas de segurança.
O truque é convincente porque o endereço inicial pertence ao domínio oficial da OpenAI, o que reduz a desconfiança dos usuários.
“O golpe funciona tão bem porque a vítima vê um domínio real da OpenAI (chatgpt.com). Muitas pessoas aprenderam a verificar se o endereço do site é verdadeiro, mas nesse caso os criminosos estão se aproveitando justamente de uma funcionalidade legítima de compartilhamento do ChatGPT.”
A estratégia dos atacantes baseia-se na exploração do recurso que permite aos usuários do ChatGPT compartilhar links de conversas. Por estar em um ambiente oficial, o usuário tende a acreditar que o conteúdo é confiável. Mas em vez de uma conversa real, a página exibe uma notificação enganosa, e para "resolver" a suposta falha, o usuário é instruído a baixar o aplicativo falso. Para evitar a detecção por ferramentas de segurança, os atacantes utilizam técnicas especiais, e assim, quando robôs de análise de sites acessam o link, eles recebem uma página inofensiva de uma empresa de tecnologia; já os usuários reais visualizam a página maliciosa.
Técnicas de camuflagem
Para evitar detecção, os criminosos utilizam cloaking. Isso significa que ferramentas de segurança, como scanners automáticos, veem apenas uma página inofensiva, enquanto usuários reais recebem o conteúdo malicioso.
Além disso, o malware é projetado para verificar se está sendo executado em um computador real ou em uma máquina virtual, dificultando análises por especialistas..
O que acontece após a instalação
Embora os pesquisadores não tenham divulgado detalhes completos sobre todas as cargas maliciosas distribuídas pela campanha, existem fortes indícios de que ela esteja sendo utilizada para instalar diferentes tipos de malware que podem provocar:
- Roubo de senhas
Malwares podem acessar credenciais armazenadas em navegadores, aplicativos e serviços online.
- Roubo de cookies de autenticação
Cookies roubados podem permitir que criminosos acessem contas sem da senha da vítima.
- Coleta de informações pessoais
Documentos, dados bancários, informações corporativas e outros arquivos sensíveis podem ser extraídos do computador infectado.
- Controle remoto do dispositivo
Alguns malwares permitem que invasores assumam o controle parcial ou total da máquina comprometida.
- Instalação de ameaças adicionais
Após a infecção inicial, outros programas maliciosos podem ser instalados silenciosamente.
- Mineração clandestina
Em alguns casos, o computador da vítima pode ser utilizado para mineração de criptomoedas sem autorização, causando lentidão e aumento no consumo de energia.
Pesquisadores também observaram que a versão para Windows realiza verificações para identificar se esta sendo executada em uma máquina virtual, comportamento frequentemente utilizado para evitar análises realizadas por laboratórios de segurança.
Uma tendência crescente envolvendo IA
Especialistas vêm observando um aumento significativo no abuso de recursos oferecidos por plataformas de inteligência artificial. Funcionalidades de compartilhamento, publicação e renderização de conteúdo estão se tornando alvos frequentes de criminosos.
De acordo com pesquisas da Push Security, vários métodos semelhantes já exploraram recursos de compartilhamento de outras plataformas de IA, incluindo funcionalidades que permitem hospedar aplicações interativas geradas por usuários.
O principal problema é que o conteúdo compartilhado herda parte da credibilidade do domínio que o hospeda. Para muitos usuários, a presença de um endereço conhecido é suficiente para transmitir confiança, mesmo quando o conteúdo em si foi criado por terceiros.
Isso provoca uma mudança importante na forma como avaliamos a segurança online: verificar apenas o domínio já não é suficiente.
Como se proteger
Embora esses métodos de ataque sejam muito sofisticados, algumas práticas simples reduzem significativamente o risco de infecção.
- Evite baixar programas por meio de anúncios
Sempre que possível, digite manualmente o endereço do site oficial ou utilize favoritos previamente salvos.
- Desconfie de mensagens de urgência
Serviços legítimos raramente exigem a instalação imediata de programas para contornar falhas temporárias.
- Baixe aplicativos apenas de fontes oficiais
Utilize exclusivamente os sites oficiais dos desenvolvedores ou lojas autorizadas, como Microsoft Store e App Store.
- Analise cuidadosamente o conteúdo da página
Mesmo que o domínio seja legítimo, verifique se a mensagem faz sentido e se está alinhada com os procedimentos normais do serviço.
- Mantenha sistemas atualizados
Atualizações do sistema operacional, navegador e software de segurança ajudam a bloquear ameaças conhecidas.
- Utilize uma solução de segurança confiável
Ferramentas de proteção atualizadas podem identificar comportamentos suspeitos e impedir a execução de malware.
- Não confie automaticamente em links compartilhados
Links públicos do ChatGPT, Claude e outras plataformas devem ser tratados como conteúdo criado por usuários, não como comunicados oficiais das empresas.
O que esse caso nos ensina?
A campanha LLMShare mostra que os golpes online estão evoluindo rapidamente e, em vez de depender apenas de domínios falsos ou páginas mal construídas, os criminosos agora exploram recursos legítimos oferecidos por plataformas populares. O resultado são ataques mais convincentes e difíceis de identificar.
A principal lição é que a confiança não deve ser baseada apenas no endereço de um site. É necessário analisar o contexto, a mensagem apresentada e a ação solicitada.
Sempre que uma página pedir downloads inesperados, especialmente durante uma suposta falha de serviço, vale a pena interromper o processo e verificar a informação diretamente nos canais oficiais da empresa.
Fonte: ghacks.net
0 Comentários
A T E N Ç Ã O ! ! ! Todos os comentários são bem vindos. Porém, comentários com palavrões ou citações que sejam consideradas ofensivas serão sumariamente deletados.
Muito obrigado.