脅威アクターがChatGPTのコンテンツ共有機能を悪用し、偽のOpenAI障害ページを表示させることで、ユーザーをChatGPTデスクトップアプリケーションに偽装したマルウェアのダウンロードへ誘導しています。
Push Securityが発見した「LLMShare」キャンペーンは、Googleの広告を利用してChatGPTを検索するユーザーをchatgpt.comにホストされた悪意のあるChatGPT共有ページへ誘導します。これにより、正規のOpenAIドメインを通じて攻撃が行われます。
広告をクリックしたユーザーは正規のChatGPT共有ページへ誘導されますが、チャット会話が表示される代わりに、ウェブ版が利用できないため代わりにデスクトップアプリをダウンロードするよう促す、レンダリングされた障害通知が表示されます。
Visit Advertiser websiteGO TO PAGE
偽の障害メッセージには「現在、トラフィックが集中しています」と記されています。
「多数のユーザーによりウェブサイトに一時的にアクセスできません。デスクトップアプリをダウンロードしてご利用ください。」
攻撃者が制御するインフラにホストされた従来のフィッシングページとは異なり、この偽の障害通知はChatGPT自体を通じてレンダリングされます。
攻撃者はChatGPTのレンダリング機能を使用してカスタムHTMLページを作成し、共有のchatgpt.com/s/リンクを通じて公開することで、正規のChatGPT URLから偽の障害通知を表示させることに成功しています。
Push Securityは、ページに「コードを表示」および「ChatGPTでリミックス」のコントロールが含まれており、偽の障害通知が実際にはChatGPTプロンプトによってレンダリングされたカスタムHTMLとCSSから生成されていることが明らかになると指摘しています。
訪問者がダウンロードボタンをクリックすると、OpenAIのデスクトップアプリケーションダウンロードポータルを装ったopenew[.]appのウェブサイトへ誘導されます。
研究者によると、このサイトはクローキングを使用して標的となった被害者にのみコンテンツを表示します。URLScanなどのセキュリティプラットフォームがURLにアクセスした場合は、無害なAR/VR企業のウェブサイトが表示されました。
このウェブサイトはmacOS [VirusTotal] とWindows [VirusTotal] の両方のダウンロードを提供しており、デバイスにマルウェアをインストールします。最終的にどのようなペイロードが展開されるかは不明ですが、AIプラットフォームの共有機能を悪用した過去のキャンペーンではインフォスティーラーが配布されていました。
BleepingComputerがWindowsバージョンをAny.Runでテストしたところ、デバイスが正規のコンピューターか仮想マシンかを判断するためのさまざまなコマンドが実行されることが確認されました。
Push Securityはまた、Anthropicのレンダリングされたアプリケーションとコンテンツを共有する機能であるClaude Artifactsを悪用した攻撃も観測しており、ユーザーを騙して悪意のあるコマンドを実行させるClickFix形式の囮が使用されていました。
AIプラットフォームの共有機能は、過去にも疑いを持たない被害者へマルウェアを配布するために悪用されてきました。
今年の初め、脅威アクターはGoogleの広告を利用してClaudeのダウンロードを検索するユーザーを、悪意のあるインストール手順を含む共有Claude会話へ誘導しました。
他のキャンペーンでは、共有されたChatGPTおよびGrokの会話が悪用され、マルウェアをインストールするコマンドの実行を被害者に指示するソフトウェアインストールガイドを装ったClickFix攻撃が行われました。
検証のギャップ:自動ペネトレーションテストが答えられる質問は一つ。あなたには六つが必要です。
自動ペネトレーションテストツールは真の価値を提供しますが、「攻撃者はネットワーク内を移動できるか?」という一つの質問に答えるために設計されています。コントロールが脅威をブロックするか、検知ルールが機能するか、クラウド設定が維持されるかをテストするためには設計されていません。
このガイドでは、実際に検証が必要な6つのサーフェスについて解説します。
