Google реклами за споделени ChatGPT и Grok водичи шират macOS infostealer малициозен софтвер

Нова кампања со AMOS infostealer го злоупотребува Google рекламирањето за да ги намами корисниците во Grok и ChatGPT разговори кои изгледаат како да нудат „корисни“ инструкции, но на крај водат до инсталирање на AMOS малициозен софтвер за крадење информации на macOS.

Кампањата првпат ја забележале истражувачите од компанијата за сајбер-безбедност Kaspersky вчера, додека платформата за управувана безбедност Huntress денес објави подетален извештај.

ClickFix нападот започнува кога жртвите бараат macOS поврзани поими, како прашања за одржување, решавање проблеми или за Atlas — веб-прелистувачот за macOS базиран на АИ од OpenAI.
Google рекламите водат директно до ChatGPT и Grok разговори кои биле јавно споделени како подготовка за нападот. Овие разговори се хостирани на легитимни LLM платформи и содржат малициозни инструкции кои се користат за инсталирање на малициозниот софтвер.

„За време на нашата истрага, тимот на Huntress ги репродуцираше овие труени резултати преку повеќе варијации на истото прашање: ‘how to clear data on iMac,’ ‘clear system data on iMac,’ ‘free up storage on Mac,’ потврдувајќи дека ова не е изолиран резултат, туку намерна, широко распространета кампања за труење насочена кон вообичаени прашања за решавање проблеми,“ објаснуваат истражувачите на Huntress.

Доколку корисниците паднат на измамата и ги извршат командите од AI разговорот во macOS Terminal, base64-енкодиран URL се декодира во bash скрипта („update“) која вчитува лажен прозорец за внесување лозинка.

Кога ќе се внесе лозинката, скриптата ја проверува, ја зачувува и ја користи за извршување на команди со привилегии, како преземање на AMOS infostealer‑от и стартување на малициозниот софтвер со root привилегии.

AMOS првпат беше документиран во април 2023. Тоа е „malware‑as‑a‑service“ (MaaS) операција која го изнајмува infostealer‑от за 1.000 долари месечно, и е наменет исклучиво за macOS системи.

Почетокот на оваа година, AMOS доби backdoor модул кој им овозможува на операторите да извршуваат команди на инфицирани системи, да снимаат притиснати тастери (keylogging) и да испраќаат дополнителни payload‑ови.

AMOS се спушта во /Users/$USER/ како скриена датотека (.helper). Кога ќе се стартува, ја скенира папката Applications за Ledger Wallet и Trezor Suite. Ако ги најде, ги препишува со тројанизирани верзии кои ја наведуваат жртвата да ја внесе seed фразата „поради безбедносни причини“.

AMOS, исто така, таргетира криптовалетни апликации како Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet и други; податоци од прелистувачи како cookies, зачувани лозинки, autofill податоци и session токени; податоци од macOS Keychain како лозинки за апликации и Wi‑Fi креденцијали; и датотеки на датотечниот систем.

Упорноста се постигнува преку LaunchDaemon (com.finder.helper.plist) кој извршува скриен AppleScript што функционира како „watchdog“ циклус — повторно го стартува малициозниот софтвер за помалку од една секунда ако биде исклучен.

Овие најнови ClickFix напади се уште еден пример за тоа како напаѓачите експериментираат со нови начини за злоупотреба на легитимни, популарни платформи како OpenAI и X.

Корисниците треба да бидат внимателни и да избегнуваат извршување команди што ги нашле онлајн, особено ако не разбираат целосно што прават.

Kaspersky забележа дека, дури и по отворањето на овие манипулирани LLM разговори, едноставно последователно прашање упатено до ChatGPT — дали инструкциите се безбедни за извршување — открива дека тие не се.

Извори:

• Bleeping Computer– Google ads for shared ChatGPT, Grok guides push macOS infostealer malware Bleeping Computer