استخبارات الخصم

كيف تستغل الجهات الفاعلة في مجال التهديد شعبية ChatGPT لنشر البرامج الضارة عبر حسابات Facebook المخترقة مما يعرض أكثر من 500,000 شخص للخطر

كشف تحقيق CloudSek عن وجود 13 صفحة/حسابًا على Facebook (يبلغ مجموعها أكثر من 500 ألف متابع) تم اختراقها ويتم استخدامها لنشر البرامج الضارة عبر إعلانات Facebook.

March 27, 2023

دقيقة

جدول المحتوى

مثال H2

الباحث: بابلو كومار

‍

مقدمة

اكتسبت ChatGPT اهتمامًا كبيرًا مؤخرًا ولأسباب وجيهة. وقد أثارت فوائدها المحتملة وقدرتها على تعزيز كفاءة العمل وفعاليته اهتمام الأفراد في مختلف القطاعات. لسوء الحظ، اجتذب هذا الاهتمام المتزايد أيضًا انتباه الجهات الفاعلة في مجال التهديد التي تسعى إلى استغلال هذه الضجة والاستفادة من شعبية التكنولوجيا لتحقيق مكاسب.

‍

كلاود سيك أصدرت مؤخرًا ورقة بحثية تسلط الضوء على التكتيكات الشائنة التي تستخدمها الجهات الفاعلة في مجال التهديد اختطاف حسابات YouTube الحالية. تتضمن هذه التكتيكات الاستفادة من البيانات المخترقة سابقًا وتقنيات التصيد الاحتيالي واستخدام سجلات السارق. تكشف هذه المدونة أن الجهات الفاعلة في مجال التهديد ربما تسللت أيضًا إلى حسابات وصفحات Facebook باستخدام نفس الأساليب. يتم استخدام هذه الحسابات والصفحات المخترقة لتوزيع البرامج الضارة من خلال قنوات مختلفة، مثل لوحات Trello وجوجل درايف والعديد من مواقع الويب الفردية، المضمنة في إعلانات Facebook.

‍

تم تصميم الإعلانات بطريقة تبدو شرعية وتحتوي على جميع التفاصيل اللازمة لتبدو مقنعة للمستخدمين غير المرتابين. رابط التنزيل مصحوب بكلمة مرور لإضفاء مزيد من المصداقية على عملية الاحتيال. علاوة على ذلك، يمكن أن تؤدي الحسابات المخترقة أيضًا إلى سرقة معلومات التعريف الشخصية (PII) والتفاصيل الحساسة مثل معلومات الدفع، وما إلى ذلك، كما أن Semrush و SMIT و Evoto و OBS Studio هي بعض مواقع الويب الأخرى المستهدفة بطريقة مماثلة.

‍

طريقة العمل

يعد Facebook من بين أكبر منصات الشبكات الاجتماعية في العالم، مع أكثر من 2.96 مليار مستخدم نشط شهريًا. في بحثنا الأخير، تبين أن العديد صفحات فيسبوك التي يحتمل أن تكون ذات متابعة عالية تم اختراقها واختراقها لنشر البرامج الضارة بوتيرة غير مسبوقة. يمكن فهمه باستخدام هذا الرسم التوضيحي البسيط.

*سلسلة العدوى - حسابات Facebook المخترقة التي تنشر البرامج الضارة*

‍

بعد الاستيلاء على حساب أو صفحة Facebook، يقوم ممثلو التهديد بتعديل معلومات الملف الشخصي لجعلها تبدو كما لو كانت صفحة ChatGPT أصلية. يتضمن ذلك استخدام اسم المستخدم «ChatGPT OpenAI» وتعيين صورة ChatGPT كصورة الملف الشخصي. ثم يتم استخدام هذه الحسابات لتشغيل إعلانات Facebook التي تقدم روابط إلى «أحدث إصدار من ChatGPT، GPT- V4" والذي يقوم، عند تنزيله، بنشر برنامج ضار سارق في جهاز الضحية. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق قسم)

‍

اقرأ أيضًا يقوم ممثلو التهديد بإساءة استخدام مقاطع فيديو Youtube التي تم إنشاؤها بواسطة الذكاء الاصطناعي لنشر البرامج الضارة

معلومات من OSINT

البرامج الضارة المتداولة قادرة على سرقة المعلومات الحساسة من جهاز المستخدم، بما في ذلك على سبيل المثال لا الحصر معلومات تحديد الهوية الشخصية ومعلومات النظام وتفاصيل بطاقة الائتمان وما إلى ذلك، كما تحتوي البرامج الضارة أيضًا على قدرات النسخ، مما يجعل من السهل الانتشار عبر الأنظمة من خلال وسائل الوسائط القابلة للإزالة.

بالإضافة إلى ذلك، يمكن للبرامج الضارة تصعيد الامتيازات ولديها آليات ثابتة تمكنها من البقاء على النظام واكتساب المزيد من النفوذ. عند تشغيل البرنامج الضار من خلال VirusTotal، وجد أنه تم وضع علامة «ضار» من قبل 9 من أصل 61 من موردي الأمان.

*قام العديد من موردي الأمان بوضع علامة على البرنامج الثنائي على أنه ضار*

‍

تحليل حسابات Facebook المخترقة

كشف تحقيقنا عن وجود 13 صفحة/حساب على فيسبوك (بلغ مجموعها أكثر من 500 ألف متابع) التي تم اختراقها ويتم استخدامها لنشر البرامج الضارة عبر إعلانات Facebook. تعود أقدم حالة من عمليات الاختطاف هذه، كما حددها باحثنا، إلى 13 فبراير 2023 وتتعلق بصفحة تضم أكثر من 23 ألف متابع. علاوة على ذلك، لاحظنا أن الممثلين استهدفوا أيضًا الحسابات التي تم إنشاؤها حديثًا، والتي كان عمر بعضها 0 يومًا. (راجع القائمة الكاملة للحسابات المخترقة التي تم تحليلها لمزيد من التفاصيل)

‍

عند إجراء تحليل أعمق لصفحات Facebook، لاحظنا العديد من النتائج الجديرة بالملاحظة. على الرغم من الصفحات الأصلية التي تلبي احتياجات جنسيات متنوعة في مختلف البلدان، إلا أن غالبية حسابات Facebook المخترقة كانت تدار من قبل أفراد ينحدرون من فيتنام والفلبين والبرازيل وباكستان والمكسيك. أظهرت الجهات الفاعلة في مجال التهديد من فيتنام والفلبين أعلى نسبة من الحسابات المخترقة بين البلدان المذكورة أعلاه.

‍

ملاحظة أخرى مثيرة للاهتمام ناشئة عن تحليلنا هي الاستخدام المتكرر لـ فيديو محدد (الذي تم نشره في الأصل على قناة اليوتيوبر هذه) لجذب الجمهور وإشراكه عبر غالبية الحسابات المخترقة. يشير هذا النمط إلى أن هذه الحملة، لنشر البرامج الضارة عبر إعلانات فيسبوك، هي على الأرجح نشاط مجموعة متميزة من الجهات الفاعلة في مجال التهديد أو جهة تهديد فردية.

*الاستخدام المتكرر لمقطع فيديو معين على صفحات Facebook المخترقة*

‍

استضافة البرامج الضارة على منصات شرعية

لقد دفعتنا ملاحظاتنا إلى اكتشاف أن الجهات الفاعلة في مجال التهديد تلجأ إلى استخدام مواقع الويب الشرعية كمضيفين للبرامج الضارة. تتضمن بعض المنصات الأكثر شيوعًا التي تم استغلالها بهذه الطريقة ما يلي: جوجل درايف وتريلو ومواقع الويب الفردية. هذا الاتجاه ليس جديدًا ولكنه يمثل تحديًا كبيرًا لمجتمع الأمن حيث يصعب غالبًا فصل المواقع الشرعية عن المحتوى الضار المستضاف عليها.

*الأنشطة المتكررة التي تمت ملاحظتها على لوحة Trello المستخدمة لاستضافة البرامج الضارة*

‍

معلومات من تريلو

أسفرت نظرة فاحصة على بطاقات Trello عن اكتشاف مثير للاهتمام يستحق الاهتمام. أسماء الحالة التي يتم استخدامها، مثل كان لام (تودو)، دانغ لام (دينغ)، دانغ سونغ (دون)، مكتوبة باللغة الفيتنامية. يمكن أن توفر هذه الملاحظة رؤى قيمة حول أصول ودوافع الجهات الفاعلة في مجال التهديد التي تستفيد من Trello كمنصة لنشر البرامج الضارة.

‍

تم تسجيل حساب Trello المسؤول عن توزيع البرامج الضارة تحت اسم «Tony». كان هذا الحساب نشطًا منذ 15 مارس 2023، مع إجراء آخر تحديث للبطاقة في 18 مارس 2023. من الجدير بالذكر أن معظم إعلانات Facebook المتداولة تحتوي على رابط لحساب Trello هذا، مما يشير إلى أن الجهات الفاعلة في مجال التهديد تستخدم هذه البطاقة المحددة لنشر البرامج الضارة.

(لمزيد من المعلومات، يرجى الرجوع إلى الملحق قسم)

‍

تحتوي الجداول أدناه على تفاصيل الجهات الفاعلة في مجال التهديد وبطاقات Trello المستخدمة من قبلهم لنشر البرامج الضارة.

‍

ملفات تعريف Trello للجهات الفاعلة في مجال التهديد

hxxps: //تريلو [.] com/u/darleen1942/النشاط

hxxps: //تريلو [.] com/u/vanonian3082z/النشاط

hxxps: //تريلو [.] com/u/dennsosambitp/النشاط

‍

نطاقات توزيع البرامج الضارة

hxxps: //تريلو [.] com/C/ZBYUSND5/7 - الدردشة V4pass8883

hxxps: //تريلو [.] com/C/mqun4GKP/1-chat-1

hxxps: //تريلو [.] com/C/OMGCXSOC/2-111

hxxps: //تريلو [.] com/C/50plizdm/1-bot-1

hxxps: //تريلو [.] com/C/0ejakngh/4-الدردشة

hxxps: //تريلو [.] com/C/EHQLPX3L/6-دردشة جي بي تي بي تي - أوبناي - كاملة - 63f6f5C3AE530d5930F758b2

hxxps: //drive.google [.] com/u/0/uc؟ المعرفة=1DKB0PKI-INGMQW1WEKP9vo6A UF7VR&التصدير=تحميل&معرف FBCLID=IWAR3NT2JZFLPBNA-IBQ9GTLQH3YABXHNB3O37E9YK-JHUGG_14TSSED1P_C

‍

معلومات من مواقع الويب الفردية

كشفت أبحاثنا على الأقل 25 موقعًا فرديًا الذين انخرطوا في ممارسة شائنة تتمثل في انتحال شخصية موقع OpenAI.com. تقوم هذه المواقع الضارة بخداع الأفراد لتنزيل البرامج الضارة وتثبيتها، مما يشكل خطرًا شديدًا على أمنهم وخصوصيتهم. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق قسم)

‍

Malicious Domains	Creation Date
https://nutrientnirvana[.]com/	22 December 2022
http://gpt-chat[.]cloud/	18 March 2023
https://chat-gpt[.]org/chat	11 December 2022
https://chatgptchat[.]org/	3 February 2023
https://ai-chat[.]org/	8 February 2023
https://gpt-ai[.]org/	10 February 2023
https://rebrand[.]ly/GPT4V1	12 September 2014

‍

مواقع أخرى على الرادار

خلال التحقيق الذي أجريناه، اكتشفنا العديد من تطبيقات البرامج المزيفة، التي تم الإعلان عنها جنبًا إلى جنب مع برنامج ChatGPT الضار، على نفس بطاقات Trello. قد تكون هذه التطبيقات قيد الاستخدام حاليًا لأغراض شائنة مختلفة، بما في ذلك على سبيل المثال لا الحصر، إعلانات Facebook الاحتيالية. قائمة البرامج المستهدفة* تم الكشف عنها بواسطة CloudSek تتضمن ما يلي:

سيمروش: منصة للبحث عن الكلمات الرئيسية وبيانات الترتيب عبر الإنترنت.
ضرب: أداة إعلانية على وسائل التواصل الاجتماعي لخبراء التسويق
إيفويتو: برنامج تحرير الصور بالذكاء الاصطناعي.
استوديو OBS: تطبيق مجاني ومفتوح المصدر لتسجيل الشاشة والبث
محررات الصور

‍

* ملاحظة: جميع الشركات المخترقة المذكورة في التقرير شرعية وليست مسؤولة بأي شكل من الأشكال عن الجهات الفاعلة في مجال التهديد التي تقوم بتقليدها أو إساءة استخدامها أو اسم علامتها التجارية. بالإضافة إلى ذلك، لدى بعض الشركات إخلاء مسؤولية يحذر المستخدمين صراحةً من مشاركة تفاصيل بطاقة الائتمان وغيرها من المعلومات الحساسة.

‍

تم تحليل قائمة حسابات Facebook المخترقة

‍

Affected Facebook Accounts/Pages	Date of Compromise	Followers
https://www.facebook.com/chatsopenai/	13 February 2023	23,527
https://www.facebook.com/chat.openais/	27 February 2023	37,307
https://www.facebook.com/openaischat/	6 March 2023	11,680
https://www.facebook.com/ChatGPT4/	9 March 2023	33,084
https://www.facebook.com/chatgptai4.0/	13 March 2023	18,703
https://www.facebook.com/tiktokUSS	15 March 2023	123000
https://www.facebook.com/chatgptdotcom/	16 March 2023	18,468
https://www.facebook.com/buyurcars	16 March 2023	26000
https://www.facebook.com/ChatOpen-AI-419029688653893/	18 March 2023	28,204
https://www.facebook.com/KnockingNews/	18 March 2023	214,170
https://www.facebook.com/profile.php?id=100083053914779	18 March 2023	73
https://www.facebook.com/profile.php?id=100090989901546	19 March 2023	0 (New Account)
https://www.facebook.com/profile.php?id=100090478546947	19 March 2023	0 (New Account)