Como os agentes de ameaças estão explorando a popularidade do ChatGPT para espalhar malware por meio de contas comprometidas do Facebook, colocando mais de 500.000 pessoas em risco

Pesquisador: Bablu Kumar

‍

Introdução

O ChatGPT ganhou atenção significativa recentemente e por boas razões. Seus benefícios potenciais e sua capacidade de aumentar a eficiência e a eficácia do trabalho despertaram o interesse de indivíduos em vários setores. Infelizmente, esse grande interesse também atraiu a atenção de agentes de ameaças que buscam explorar o hype e capitalizar a popularidade da tecnologia para obter ganhos.

‍

CloudSEK lançou recentemente um artigo de pesquisa que esclarece as táticas nefastas empregadas por agentes de ameaças para sequestrar contas existentes do YouTube. Essas táticas incluem o aproveitamento de dados previamente comprometidos, técnicas de phishing e o uso de registros roubados. Este blog revela que os agentes de ameaças também podem ter se infiltrado nas contas e páginas do Facebook usando os mesmos métodos. Essas contas e páginas comprometidas estão sendo usadas para distribuir malware por vários canais, como painéis do Trello, Google Drive e vários sites individuais, que estão incorporados nos anúncios do Facebook.

‍

Os anúncios são projetados de forma que pareçam legítimos, contendo todos os detalhes necessários para parecerem convincentes para usuários desavisados. O link para download é acompanhado por uma senha para dar mais credibilidade ao golpe. Além disso, contas comprometidas também podem resultar no roubo de informações de identificação pessoal (PII) e detalhes confidenciais, como informações de pagamento, etc. Semrush, SMIT, Evoto e OBS Studio são alguns outros sites alvo de maneira semelhante.

‍

Modus Operandi

O Facebook está entre as maiores plataformas de redes sociais do mundo, com mais de 2,96 bilhões de usuários ativos mensais. Em nossa pesquisa recente, veio à tona que vários páginas do Facebook com maior número de seguidores foram comprometidos e sequestrados para espalhar malware em um ritmo sem precedentes. Isso pode ser entendido usando esta ilustração simples.

‍

‍

Depois de assumir o controle de uma conta ou página do Facebook, os agentes da ameaça modificam as informações do perfil para que pareçam ser uma página autêntica do ChatGPT. Isso envolve usar o nome de usuário “ChatGPT OpenAI” e definir a imagem do ChatGPT como a foto do perfil. Essas contas são então usadas para veicular anúncios no Facebook que oferecem links para o “versão mais recente do ChatGPT, GPT- V4” que, quando baixado, implanta um malware ladrão no dispositivo da vítima. (Para obter mais informações, consulte o Apêndice seção)

‍

Leia também Atores de ameaças abusam de vídeos do Youtube gerados por IA para espalhar malware roubador

Informações da OSINT

O malware circulado é capaz de roubar informações confidenciais do dispositivo do usuário, incluindo, mas não se limitando a PII, informações do sistema, detalhes do cartão de crédito, etc. O malware também tem recursos de replicação, o que facilita a distribuição entre sistemas por meio de mídia removível.

Além disso, o malware pode aumentar os privilégios e tem mecanismos persistentes que permitem que ele permaneça no sistema e obtenha maior vantagem. Ao executar o malware por meio do VirusTotal, ele foi considerado “malicioso” por 9 dos 61 fornecedores de segurança.

‍

‍

Análise das contas comprometidas do Facebook

Nossa investigação revelou a presença de 13 páginas/contas do Facebook (totalizando mais de 500 mil seguidores) que foram comprometidos e estão sendo usados para disseminar o malware por meio de anúncios no Facebook. O exemplo mais antigo desse tipo de sequestro, conforme identificado por nosso pesquisador, data de 13 de fevereiro de 2023 e pertence a uma página com mais de 23 mil seguidores. Além disso, observamos que os atores também tinham como alvo contas recém-criadas, algumas das quais tinham apenas 0 dias de idade. (Consulte a lista completa de contas comprometidas analisadas para obter mais detalhes)

‍

Ao realizar uma análise mais profunda das páginas do Facebook, observamos várias descobertas dignas de nota. Apesar das páginas originais atenderem a diversas nacionalidades em vários países, a maioria das contas comprometidas do Facebook estavam sendo gerenciadas por indivíduos vindos de Vietnã, Filipinas, Brasil, Paquistão e México. Atores de ameaças do Vietnã e das Filipinas exibiram a maior incidência de contas comprometidas entre os países mencionados acima.

‍

Outra observação interessante decorrente de nossa análise é o uso repetido de vídeo específico (que foi originalmente publicado em canal deste YouTuber) para atrair e engajar o público na maioria das contas comprometidas. Esse padrão sugere que essa campanha, de implantação de malware por meio de anúncios no Facebook, é provavelmente a atividade de um grupo distinto de agentes de ameaças ou de um ator de ameaça individual.

‍

Hospedagem de malware em plataformas legítimas

Nossas observações nos levaram a descobrir que os agentes de ameaças estão recorrendo ao uso de sites legítimos como hospedeiros de malware. Algumas das plataformas mais comuns que foram exploradas dessa maneira incluem Google Drive, Trello e sites individuais. Essa tendência não é nova, mas representa um desafio significativo para a comunidade de segurança, pois geralmente é difícil dissociar sites legítimos do conteúdo malicioso hospedado neles.

‍

‍

Informações do Trello

Uma análise mais detalhada dos cartões do Trello resultou em uma descoberta intrigante que merece atenção. Os nomes de status que estão sendo usados, como Cən làm (Fazer), Đang làm (Fazer) e Đã xong (Feito), estão escritos em vietnamita. Essa observação pode fornecer informações valiosas sobre as origens e os motivos dos agentes de ameaças que estão usando o Trello como plataforma para disseminar malware.

‍

A conta do Trello responsável pela distribuição do malware está registrada com o nome “Tony”. Essa conta está ativa desde 15 de março de 2023, com a atualização mais recente do cartão ocorrendo em 18 de março de 2023. Vale ressaltar que a maioria dos anúncios do Facebook em circulação contém um link para essa conta do Trello, sugerindo que os agentes da ameaça estão usando esse cartão específico para disseminar o malware.

(Para obter mais informações, consulte o Apêndice seção)

‍

As tabelas abaixo contêm detalhes dos agentes de ameaças e dos cartões Trello usados por eles para disseminar malware.

‍

Perfis do Trello sobre agentes de ameaças

hxxps: //trello [.] com/u/darleen1942/activity

hxxps: //trello [.] com/u/vanonian3082z/activity

hxxps: //trello [.] com/u/dennsosambitp/activity

‍

Malware distribuindo domínios

hxxps: //trello [.] com/c/zbyusnd5/7-chatv4pass8883

hxxps: //trello [.] com/c/mqun4gkp/1-chat-1

hxxps: //trello [.] com/c/OMGCxsoC/2-111

hxxps: //trello [.] com/c/50plizdm/1-bot-1

hxxps: //trello [.] com/c/0ejakngh/4-chatGPT

hxps: //trello [.] com/c/ehqlpx3l/6-chatgpt-openai-full-destop-63f6f5c3ae530d5930f758b2

hxxps: //drive.google [.] com/u/0/uc? id=1dkib0pki-ingmqw1wekp9vvo6aluf7vr&export=download&fbclid=iwar3nt2jzflpbna-ibq9gtlqh3yabpxhnb3o37e9yk-jhugg_14tssed1p_c

‍

Informações de sites individuais

Nossa pesquisa revelou pelo menos 25 sites individuais que estão envolvidos na prática nefasta de se passar pelo site OpenAI.com. Esses sites maliciosos estão enganando as pessoas para que baixem e instalem softwares nocivos, representando um grave risco à sua segurança e privacidade. (Para obter mais informações, consulte o Apêndice seção)

‍

‍

Outros sites no radar

Durante o curso de nossa investigação, descobrimos vários aplicativos de software falsificados, anunciados junto com o software malicioso ChatGPT, nos mesmos cartões Trello. Atualmente, esses aplicativos podem estar em uso para vários fins nefastos, incluindo, mas não se limitando a, publicidade fraudulenta no Facebook. A lista de softwares direcionados* descoberto pelo CloudSEK inclui o seguinte:

• Semrush: Uma plataforma para pesquisa de palavras-chave e dados de classificação on-line.
• ESMAGAR: Uma ferramenta de publicidade em mídias sociais para especialistas em marketing
• Evoto: Um software de edição de fotos com inteligência artificial.
• Estúdio OBS: Um aplicativo de screencasting e streaming gratuito e de código aberto
• Editores de fotos

‍

*Nota: Todas as empresas comprometidas mencionadas no relatório são legítimas e não são responsáveis de forma alguma pelos agentes de ameaças imitarem ou abusarem delas ou de sua marca. Além disso, algumas empresas até têm um aviso que avisa explicitamente os usuários contra o compartilhamento de detalhes do cartão de crédito e outras informações confidenciais.

‍

Lista de contas comprometidas do Facebook analisadas

‍

Referências e atribuições

• Atores de ameaças abusam de vídeos do Youtube gerados por IA para espalhar malware roubado | CloudSEK 
• Ilustrações semiplanas personalizáveis para hackers | Pana Style
• 16,190 Ícones de usuários - Grátis em SVG, PNG, ICO - IconScout
• Ícone usado no infográfico
• Ícone usado no infográfico

Apêndice

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍