巧妙に作られた偽サイトがOpenAIのChatGPTダウンロードページを装い、パスワード、ブラウザデータ、暗号資産ウォレット、その他の機密情報を盗むように設計されたマルウェアを訪問者に感染させています。
そのサイト openew[.]app は、OpenAIの本物のChatGPTダウンロード体験をよく模倣しており、WindowsとmacOS両方の公式デスクトップアプリに見せかけたものを提供しています。しかし実際には、Windowsユーザーには認証情報を盗むマルウェアローダーが配布され、Macユーザーには暗号資産盗難に関連した有名なmacOSマルウェアファミリーであるAtomic Stealer(AMOS)が送り込まれます。
この攻撃が注目される点は、デュアルプラットフォーム対応の仕組みにあります。Windowsのダウンロードをクリックすると、攻撃者が管理するサーバーへのバックチャネルを開く偽のインストーラーが配信されます。macOSのボタンをクリックすると、ブラウザのパスワード、Cookie、Telegramセッション、暗号資産ウォレット、その他の機密ファイルを盗むマルウェアが配信されます。さらに、正規のLedgerおよびTrezorウォレットアプリをトロイの木馬化されたバージョンに置き換えようとします。
OpenAIの公式ダウンロードページまたはMicrosoft StoreからのみChatGPTをダウンロードしている場合、今回の攻撃の標的ではありません。しかし「ChatGPT ダウンロード」と検索して広告や見慣れない検索結果をクリックした場合、攻撃者にオンラインアカウント、ブラウザセッション、保存済みパスワード、さらには暗号資産へのアクセスを許してしまった可能性があります。
技術的分析
このドメイン openew[.]app は、OpenAIの本物のChatGPTダウンロード体験をよく模倣しています。ダークテーマ、OpenAIスタイルのブランディング、見慣れたマーケティングコピー、そしてmacOSとWindows向けの目立つダウンロードボタンを使用しています。
.appトップレベルドメインはGoogleが運営しており、HTTPS接続が必須です。つまり、ブラウザには証明書に関する明らかな警告なしに、見慣れた鍵マークのアイコンが表示されます。
最も重要な点はデュアルプラットフォームの仕組みです。本物のソフトウェアベンダーはWindowsとmacOS向けに別々のインストーラーを提供しており、この偽サイトもまったく同じことをしています。
Windowsボタンをクリックすると Chat_GPT.exe が配信され、macOSボタンをクリックすると ChatGpt.dmg を含むディスクイメージがダウンロードされます。
Windowsマルウェア
Chat_GPT.exe はほぼ完全に既製品のパーツで構成されています。インストーラーには Inno Setup(数千もの正規のWindows製品で使用されている無料オープンソースツールキット)が使用されています。内部には Electron アプリケーションのスケルトンが入っており、これはSlackやDiscordなどのアプリと同じChromiumベースのフレームワークで、Electronプロジェクトから公開されている標準サポートライブラリとバンドルされています。
被害者がインストーラーを実行すると、%APPDATA%\LeronApplication 以下にファイルが作成され、EApp.exe が起動し、-ExecutionPolicy Unrestricted -Command - フラグを付けてPowerShellが起動します。末尾のダッシュはPowerShellに標準入力からコマンドを読み取るよう指示するものであり、悪意のある命令がスキャナーに検出される可能性のあるディスクには残りません。行動テレメトリには、188.137.246.189 への /laravel.php?api=api&hash=...&message=... エンドポイントを使ったHTTPトラフィック、インジェクションに似た活動、サービス・自動起動の永続化シグナルが記録されています。分析時点では69のウイルス対策エンジンのうち9つがこのファイルを悪意あるものとして検出しました。永続化の証拠は、持続的なインストールの証明よりも行動的な手口として読み解くほうが適切ですが、全体的なパターンは典型的なコモディティ型スティーラー/ドロッパーの領域、つまり技術的な革新性よりも安さ・モジュール性・実効性を重視したものです。
macOSマルウェア:Atomic Stealer(AMOS)
macOSのペイロードはコモディティマルウェア市場のプレミアム帯に位置しています。それが Atomic Stealer(AMOS とも呼ばれる)で、2023年から記録されているマルウェア・アズ・ア・サービスのプラットフォームです。2024年の当社のアップデート版に関する報告でも取り上げています。
識別は比較的明確です。サンドボックス化されたサンプルはAMOSの既知の行動パターンとよく一致しています。macOSスクリプティングエンジンに渡される長いAppleScriptチェーン、macOSのディレクトリサービスコマンドを使ったサイレントなパスワード検証の試み、そしてサイレントチェックが失敗した場合には「続行するにはデバイスのパスワードを入力してください」という見慣れた鍵アイコン付きのmacOSスタイルの偽プロンプトが表示されます。ユーザーが入力した内容は同じコマンドで検証されます。一致した場合、マルウェアはユーザーのログインパスワードを平文で取得します。
その後は典型的なAMOSのプレイブックに従います。macOSキーチェーンをコピーし、12のChromiumベースのブラウザとFirefox、WaterfoxからCookieと保存済みログイン情報を収集し、Telegramのセッションデータを抽出します。また、Ledger Live、Trezor Suite、Exodus、Electrum、Sparrowを含む16の暗号資産ウォレットディレクトリをスキャンします。さらに、デスクトップとドキュメントフォルダ内の .wallet、.seed、.key、.kdbx などの拡張子を持つファイルを検索します。収集されたデータは一時アーカイブに圧縮され、ハードコードされたサーバーに送信されます。
ウォレット置き換え機能は特に危険
macOSペイロードにはもう一つの機能があり、それがおそらく価格を正当化する機能です。初期のデータ窃取の後、スクリプトは2台目のサーバーからLedger Live、Ledger Wallet、Trezor Suiteのトロイの木馬化されたバージョンをダウンロードします。そして正規のウォレットアプリを削除し、攻撃者のバージョンに置き換えようとします。
攻撃チェーンの早い段階でユーザーのパスワードが取得されていた場合、スクリプトは sudo を使って強制的に置き換えを行います。取得できていない場合は、標準的な rm -rf による削除を試みますが、アプリがユーザーが書き込み可能な場所にインストールされている場合はこれでも成功する可能性があります。いずれにせよ、次にウォレットソフトウェアと思われるものを開いたとき、実際には攻撃者のバージョンを起動している可能性があります。
この動作は過去のAMOS公開分析で記録されており、オペレーターの意図は明確です。AMOSは暗号資産の盗難と強く関連しており、このキャンペーンのmacOS側はまさにその結果を狙ったものと見られます。
この攻撃の構築コスト
ここでAIという切り口が興味深くなります。なぜなら、WindowsとmacOSの攻撃は非常に異なる価格帯に位置しているからです。
ドメイン openew.app は、通常のレジストラーを通じて年間約15ドルで取得できたと思われます。.app ドメインはデフォルトでHTTPSが必須となっており、正規サイトと関連付けて安心のブラウザ鍵マークをユーザーに簡単に提示できます。ランディングページ自体はOpenAIの本物のダウンロードページをコピーしたものであり、現代のクローニングツールを使えば数分で再現できます。
Windows側のツールのほとんどは安価か無料です。Inno Setup は無料、Electron も無料、Chromiumのサポートファイルはパブリックダウンロードです。サーバーインフラは低コストのコモディティマルウェアツールと、月数ドルで済む基本的なVPSで賄われているようです。全体として、Windowsサイドのこの攻撃の初期構築コストは100ドル未満で済んだ可能性があります。
macOS側は大きく異なります。AMOSは暗号資産で支払われる月額約3,000ドルでレンタルされていると報告されています。比較すると、人気のあるWindowsインフォスティーラーで類似製品とよく比べられるLummaは、歴史的に月額約250ドルのエントリー価格帯を広告していました。
この価格差は多くを物語っています。オペレーターは、Macへの感染成功が一般的なWindowsへの感染よりもはるかに高い価値を持つと明確に判断しています。
その理由はシンプルです。AMOSはこのキャンペーンで見られたウォレット置き換え動作を含め、暗号資産の盗難に特化して設計されています。オペレーターは、相当数のMacユーザーが暗号資産を保有していると賭けているのです。
被害者をサイトに誘導することがおそらく唯一の主要な継続コストであり、そこでAIブランドが価値を持ちます。検索広告、SEOポイズニング、YouTubeスパム、AIに特化したDiscordやTelegramコミュニティでシェアされるリンクはすべて、偽ダウンロードページへのトラフィックを誘導できます。それらのチャネルの一部はコストがかかりますが、ほぼ無料のものもあります。
攻撃者がAIブランドを狙う理由
多くの確立されたソフトウェアには、すでに信頼されたダウンロード習慣があります。Chromeが欲しければGoogleに行くことを知っているし、Photoshopが欲しければAdobeに行くでしょう。正規のダウンロード先をすでに知っているのです。
AIツールは違います。ほとんどのユーザーはまだ初めてインストールしており、ダウンロードページを見つけるために検索結果、広告、YouTubeのリンク、ソーシャル投稿に頼っています。これが偽サイトにとって理想的な環境を作り出しています。
過去2年間で、ChatGPT、Claude、Gemini、Sora、DeepSeek、Antigravityなど多くの製品が次々と登場したり急速に変化したりしました。新しいリリースのたびに、公式URLを知らないまま「ChatGPT ダウンロード」や「Claude インストール」と検索するユーザーの波が生まれます。その検索トラフィックこそ、攻撃者が罠を仕掛ける場所です。
偽ページはとりわけ精巧である必要もありません。なぜなら、正規のAI製品ページはもともとシンプルなデザインだからです。モダンなレイアウト、ロゴ、大きなダウンロードボタン。Openew[.]app はユーザーが目にすることを期待するものと一致しています。不自然な英語や押し付けがましいポップアップはなく、同一のブランディング、コピー、そして安心のブラウザ鍵マークがあるだけです。
この種の攻撃が持続しやすい理由は、ブランドを簡単に変えられることにあります。ChatGPTの囮がクリックを集めなくなれば、オペレーターは次の話題のAI製品を中心に同じインフラを再利用できます。ダウンロードボタンの裏にあるマルウェアは同じままで、ブランディングだけが変わります。
AIベンダーができること
OpenAIを含む主要なAIベンダーのほとんどは、すでに公式ダウンロードチャネルを提供しています。問題は可視性とユーザーの習慣にあります。多くのユーザーはいまだに「ChatGPT ダウンロード」と検索しており、その結果には公式リンク、非公式のミラーサイト、そして完全に悪意あるサイトが混在しています。
大手消費者ブランドや銀行は、偽広告やなりすましドメインに対して積極的なブランド保護キャンペーンを実施していることが多くあります。AIベンダーも同様のことをより一貫して行う必要があるかもしれません。
もう一つの問題は発見しやすさです。公式のデスクトップアプリへのリンクは設定メニューやサイドバーに埋もれがちで、検索エンジンのほうが速くて分かりやすいのです。そしてまさにそこに、偽ダウンロードサイトが待ち構えています。
偽アプリをインストールした可能性がある場合の対処法
OpenAIの公式ダウンロードページまたはMicrosoft Store以外の場所からChatGPTを名乗るものを最近インストールした場合、被害を受けている可能性があります。別の清潔なデバイスから以下の操作を行ってください:
- 各サービスの「すべてのデバイスからサインアウト」オプションを使って重要なアカウントからサインアウトしてください。メール、銀行、クラウドストレージ、GitHub、Discord、Telegram、暗号資産取引所が含まれます。
- まずプライマリーメールアカウントからパスワードを変更してください。
- 感染したデバイスに保存されているAPIキー、SSHキー、クラウド認証情報をローテーションしてください。
- 暗号資産を保有している場合は、別の清潔なデバイスを使って直ちに資金を移動してください。macOSをお使いの場合は特に、OSを再インストールする前に感染したデバイスでLedger LiveやTrezor Suiteを開かないでください。ウォレット置き換え機能が成功している可能性があります。
- 銀行口座やクレジットカードに不審な動きがないか監視してください。
- OSを再インストールしてください。WindowsサンプルはPowerShellによるコマンド&コントロール動作を示しており、macOSペイロードはユーザーのログインパスワードを取得している可能性があります。クリーンな再インストールが最も安全な回復方法です。
- これが職場のデバイスであった場合は、直ちにITまたはセキュリティチームに連絡してください。
まとめ
このキャンペーンについて取り上げる理由は、マルウェア自体にあるのではありません。両方のペイロードはすでによく文書化されています。Windows側は安価で広く入手可能なパーツで組み立てられたコモディティキットです。macOS側は2023年から追跡されているマルウェアファミリーのAMOSです。
より興味深いのは、そのマルウェアを取り巻く攻撃の構造です。一つの偽サイトが、異なる経済的な被害者像を狙った2種類のペイロードを配信しています。Windowsの被害者は、認証情報とCookieの盗難による広範な金銭化を狙われています。Macの被害者はより絞り込まれた形で、暗号資産の盗難という手段で狙われており、オペレーターはリターンが正当化されると判断し、ツールに月数千ドルを費やす意思があるようです。
両サイドを結びつける囮は、AIブランドそのものです。現在、AIの製品名は、公式URLをまだ知らないユーザーによる膨大な量の初回ダウンロードトラフィックを生み出しています。
これが成熟した配信ビジネスの姿です。興味深い層はバイナリではなく、その周辺のサプライチェーンにあります。ドメイン、証明書、クローンページ、トラフィックソース、マルウェアサブスクリプション、そして情報流出インフラ。各ピースは安く、モジュール式で、交換可能であり、既製品として入手可能です。
そしてオペレーターはWindowsとmacOSのどちらかを選んでいるわけではありません。同じページから両方を提供し、各プラットフォームの経済性に合わせてペイロードを調整しています。あるAIブランドがコンバージョンを生まなくなれば、ブランディングを変えるだけで同じインフラを次の話題の製品に再利用できます。
AIの熱狂はいつか冷めるでしょう。しかし、このキットはそうならないかもしれません。
侵害の痕跡(IOC)
ファイルハッシュ(SHA-256)
c9e0e6985dca3a179c9bdea4e7b38f7dc57fe00ecedc2fd634256fc53bf2de2d(Chat_GPT.exe)c0919e1999eaee67e67aeda0287722775afb04e9a9a0f727928b4d11265fb70b(ChatGpt.dmg)
ネットワーク指標
openew[.]app188[.]137[.]246[.]189192[.]253[.]248[.]181172[.]94[.]9[.]250
