Enlaces compartidos de ChatGPT son explotados para propagar malware mediante falsas caídas
En el entorno corporativo y digital, la confianza es el activo más valioso, por lo que los ciberdelincuentes han encontrado la manera de explotarla. Esto se debe a que un grupo de adversarios ha comenzado a abusar de la función de compartir contenido de ChatGPT para desplegar pantallas falsas que simulan una caída del servicio de OpenAI.
El objetivo es perverso por ser tan simple; el hecho de convencer a los usuarios de que la versión web está saturada y empujarlos a descargar un supuesto software de escritorio que, en realidad, es un virus diseñado para vaciar sus credenciales.
Esta nueva ofensiva maliciosa, denominada por los investigadores como la campaña LLMShare, destaca por una sofisticación psicológica preocupante, debido a que todo comienza con una búsqueda común en Google. Los usuarios que intentan acceder a ChatGPT hacen clic en los anuncios patrocinados que parecen legítimos, pero que los redirigen a un enlace legítimo de chatgpt.com.
Aquí es donde radica la genialidad del engaño, debido a que las herramientas tradicionales de seguridad no detectan ninguna anomalía en la URL. No obstante, al entrar, los usuarios no detectan la interfaz habitual de la IA, sino un meticuloso aviso de mantenimiento que advierte acerca de un supuesto exceso de tráfico en los servidores de la organización.
El mensaje de la falsa interrupción asegura que el sitio web se encuentra temporalmente fuera de servicio debido a la avalancha de personas conectadas en ese instante, también invita cordialmente a descargar la aplicación de escritorio oficial para poder continuar con el trabajo.
A diferencia del phishing de la vieja escuela, en donde los hackers maliciosos tenían que construir y alojar sitios web en servidores bajo su propio control, este aviso se genera desde los propios servidores de OpenAI.
Los cibercriminales han descubierto cómo inyectar código HTML y CSS personalizados mediante prompts específicos, aprovechando las capacidades de renderizado de la IA para publicar el resultado por medio de un enlace oficial para compartir.
TIC Defense es una empresa que se encarga de proteger los activos digitales de organizaciones de cualquier tamaño, desde pequeñas, Pymes y grandes corporaciones. Igualmente, disponemos de un conjunto de herramientas y soluciones innovadoras y que se ajustan a las necesidades de las compañías.
La fachada es tan real que, incluso, conserva los botones nativos para ver el código o mezclar el prompt, delatando el truco solo ante los ojos de un especialista experto. Cuando el usuario víctima cae en la trampa y presiona el botón de descarga, es redirigida hacia un dominio externo bajo el control de los cibercriminales que clona a la perfección el portal de OpenAI.
Para protegerse de las firmas y equipos de seguridad informática, los actores de amenazas implementaron un sistema de encubrimiento técnico. Si una plataforma de análisis automatizado visita el sitio para verificar su peligrosidad, el sitio muta para mostrar un catálogo inofensivo de una empresa de realidad virtual.
Por otro lado, si el visitante es un usuario real, se le ofrecen instaladores maliciosos tanto para Windows como para macOS. Los análisis en entornos controlados han revelado que el instalador de Windows puede ejecutar comandos sofisticados para comprobar si se encuentra en un entorno de pruebas antes de liberar su carga útil.
Aunque todavía se está analizando el alcance final del malware, los antecedentes apuntan de forma directa a ladrones de información (infostealers) capaces de robar contraseñas y billeteras de criptomonedas.
