自 ChatGPT 推出以来,就一直备受大家的关注。但也有许多研究人员担心生成式 AI 在将 AI 平民化的同时也会将使网络犯罪大众化。在某些黑客论坛,安全研究人员观察到有人使用 ChatGPT 写恶意代码的现象。
此前,曾发布过:ChatGPT 成黑客编写恶意软件「利」器,一篇名为《ChatGPT – Benefits of Malware》的帖子出现在某个热门地下黑客论坛上,该帖子的发布者透露,他正在试验用 ChatGPT 重构常见的恶意软件。
此外,还有更多用户在论坛上发帖,声称 ChatGPT 每天可以让他们赚取超过 1000 美元。据《福布斯》报道,这些方法包括利用 ChatGPT 的能力冒充年轻女性,对易受攻击的目标实施社会工程攻击。
虽然 OpenAI 在服务条款中明确禁止生成恶意软件,并且在 ChatGPT 聊天机器人中实施了一些内容审核警告,但研究人员发现,用户可以很容易避开当前系统并避免处罚。
黑客一直在寻找节省时间和加快攻击速度的方法,ChatGPT 的 AI 驱动响应正好为大多数编写恶意软件和网络钓鱼电子邮件的黑客提供了一个很好的起点“代码由 AI 自动编写,他们只负责发动攻击即可。
近期,笔者了解到,黑客正在利用 ChatGPT 的流行性为 Windows 和 Android 分发恶意软件,或将毫无疑问的漏洞引向钓鱼网页。
目前,ChatGPT 获得了巨大的吸引力,成为现代历史上增长最迅速的消费者应用程序,到 2023 年 1 月有超过 1 亿用户。
这种大规模的流行和快速的增长迫使 OpenAI 限制了该工具的使用,并推出了每月 20 美元的付费级别(ChatGPT Plus),以便想使用聊天机器人的个人使用者。
此举为黑客创造了条件,他们通过承诺可以不间断地免费访问高级 ChatGPT,从而利用该工具来引诱用户。提供一些非常丰富的虚假服务,目的是引诱用户安装恶意软件或提供帐户凭据。
安全研究员 Dominic Alvieri 是第一个注意到这个例子的人,他使用域名为“chat-gpt-pc.online”以下载 ChatGPT Windows 桌面客户端为幌子,用 Redline 窃取信息的恶意软件感染访问者。
该网站是一个由 Facebook 页面推广,并且页面使用 ChatGPT 的官方标识欺骗用户重定向到恶意网站。
假 Facebook 页面
Alvieri 还发现了在 Google Play 和 Android 第三方应用程序商店中推广的假冒 ChatGPT 应用程序,将可疑软件推送到用户的设备上。
Google Play 应用商店中假冒 ChatGPT
同时,Cyble 的研究人员发表了一份相关报告,他们在报告中介绍了关于 Alvieri 发现的恶意软件分发活动的更多发现,以及其他利用 ChatGPT 的恶意操作。
Cyble 发现了 "chatgpt-go.online",它传播的恶意软件可以窃取剪贴板内容和 Aurora 窃取器。
此外,"chat-gpt-pc[.]online "在 Cyble 的测试中传递了 Lumma 窃取器。另一个域名"openai-pc-pro[.]online"投放了一个未知的恶意软件家族。
除此之外,Cyble 在 "pay.chatgptftw.com "还发现了一个信用卡窃取页面,据称为访问者提供了一个购买 ChatGPT Plus 的支付门户。
网络钓鱼网站窃取信用卡详细信息
当谈到假冒应用程序时,Cyble 表示,它发现了 50 多个使用 ChatGPT 图标和类似名称的恶意应用程序,所有这些程序都是虚假的,并试图在用户的设备上进行有害活动。
报告中突出的两个例子是“chatGPT1”,这是一款短信计费欺诈应用程序,以及“AI Photo”,其中包含 Spynote 恶意软件,可以从设备中窃取通话记录、联系人列表、短信和文件。
Spynote 恶意软件从设备窃取通话数据
ChatGPT 是一种仅在“chat.openai.com”上提供的在线工具,目前不为任何操作系统提供任何移动或桌面应用程序。
任何声称是 ChatGPT 的应用程序或网站都是试图欺诈或感染恶意软件的假冒品,至少用户应该认为是可疑的,应该避免使用它们。目前 ChatGPT 还有很大的发展空间,无论是在性能上,还是安全上,我们都要静静等待。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-use-fake-chatgpt-apps-to-push-windows-android-malware/
扫一扫
295
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
