脅威アクターがOpenAIのブランド認知度を悪用し、偽のChatGPTダウンロードサイトを検索広告で上位表示させることで、プラットフォーム別マルウェアを配布しています。
このキャンペーンを発見したのは、EvalianのSecurity Operations Centerの研究者たちです。WindowsとmacOSの両ユーザーを標的にしており、JavaScriptの難読化、CAPTCHAゲーティング、段階的なペイロード実行といった複数の検出回避手法が用いられています。
キャンペーンの中核となるのはドメイン「openew[.]app」です。OpenAIのブランドを模倣し、トロイの木馬化されたChatGPTインストーラーをユーザーにダウンロードさせようとしています。
このドメインはNamecheap Inc.経由で最近登録されており、ネームサーバーにはdns1.registrar-servers[.]comとdns2.registrar-servers[.]comが使用されています。これは、短期間で展開される悪意あるインフラに共通するパターンです。VirusTotalでは複数のベンダーが、このドメインをフィッシングおよびマルウェア配布目的のものとして検出済みです。
関連するIPアドレス「144[.]172[.]104[.]205」はRouterHosting LLCに紐づいており、短命な悪意あるキャンペーンで頻繁に悪用される低コストVPSプロバイダーです。
パッシブDNSデータからは、同一IPに紐づく追加の悪意あるドメインが確認されており、このIPが攻撃者の共有インフラとして機能していることが裏付けられています。
Windows用インストーラー(Chat_GPT.exe、SHA-256: 56CC26E88C064B0C423AA8AD6530E58F91D1E4D28FAB1A8BCEDEF16A6582B4D2)はInno Setupでパッケージ化されており、Electronベースのアプリケーションが含まれています。静的解析では複数の不審な点が浮かび上がりました。
macOS用ペイロード(SHA-256: 7E5B708F6659B1FAD3AAE7B589A706434FBF21708AEEC5AF5910189B96E25FEF)は、解析時点でVirusTotalの検出数がゼロでした。同プラットフォーム向けに検出回避が意図的にチューニングされているものと見られます。
ElectronアプリのAsar アーカイブ(app.asar)を展開すると、高度に難読化されたJavaScriptバンドル(winter.js)が発見されました。内部には16進数エンコードされた文字列、動的に解決される関数参照、制御フロー操作が含まれています。
部分的な難読化解除により、child_process、systeminformation、fs、zip-lib、httpといったNode.jsモジュールが確認され、完全なシステムアクセス、プロセス実行、ネットワーク通信の機能を持つことが判明しました。
実行時、アプリケーションはまずCAPTCHAチャレンジを表示し、その後-ExecutionPolicy Unrestricted -Command –フラグを付けた複数のPowerShell.exeプロセスを起動します。実際のペイロードはインライン実行ではなく、起動後に配信される仕組みです。
%APPDATA%\Satoshi配下に永続的なChromiumプロファイルが作成されます。Evalianによると、実行ロジックは完全にイベント駆動型で、CAPTCHAの完了に成功した後にのみトリガーされる設計となっています。
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
セキュリティチームは、以下の検出機会を優先的に対処する必要があります。
今回のキャンペーンは、初期アクセス手段としてのマルバタイジングが依然として高い有効性を持つことを改めて示しています。スポンサー検索結果をクリックするユーザーの行動は不審には見えないため、境界防御はほぼ機能しません。
最初のクリックを止められない以上、検出の重点は実行後のテレメトリーに移す必要があります。異常なプロセスツリー、予期しないファイルドロップ、不審なアプリケーションディレクトリ——こうしたシグナルこそが、最も重要な検出指標となります。
翻訳元: https://cyberpress.org/fake-chatgpt-download-site-spreads-malware/
