Ciberdelincuentes están usando aplicaciones falsas de ChatGPT para ataques de phishing y difundir malware

En noviembre de 2022, OpenAI lanzó ChatGPT, que rápidamente se convirtió en una de las herramientas de inteligencia artificial de más rápido crecimiento y atrajo a más de 100 millones de usuarios. El lanzamiento de ChatGPT generó mucho revuelo debido a sus impresionantes capacidades. Con acceso a grandes cantidades de datos, ChatGPT puede responder una amplia variedad de preguntas y ayudar a los usuarios a aumentar su productividad. Su popularidad y utilidad lo han convertido en un tema popular de discusión.

Aunque ChatGPT ha sido ampliamente adoptado por usuarios legítimos que buscan mejorar su productividad, también ha sido explotado por varios atacantes. Investigadores de Cyble han identificado varios casos en los que los atacantes se han aprovechado de la popularidad de ChatGPT para distribuir malware y llevar a cabo otros ataques cibernéticos.

Cyble ha detectado varios sitios web de phishing que se promocionan a través de una página de redes sociales fraudulenta de OpenAI para propagar varios tipos de malware. Además, varios sitios de phishing se hacen pasar por ChatGPT para robar información de tarjetas de crédito.

Aprovechando el uso generalizado de ChatGPT, varias familias de malware de Android están utilizando el ícono y el nombre de ChatGPT para engañar a los usuarios desprevenidos, Estas les hacen creer que son aplicaciones auténticas, lo que en última instancia conduce al robo de información confidencial de los dispositivos Android.

Páginas de redes sociales

Los investigadores han identificado una página de redes sociales no oficial de ChatGPT con muchos seguidores y me gusta, que presenta múltiples publicaciones sobre ChatGPT y otras herramientas de OpenAI. La página parece estar tratando de generar credibilidad al incluir una combinación de contenido, como videos y otras publicaciones no relacionadas. Sin embargo, una mirada más cercana reveló que algunas publicaciones en la página contienen enlaces que llevan a los usuarios a páginas de phishing que se hacen pasar por ChatGPT. Estas páginas de phishing engañan a los usuarios para que descarguen archivos maliciosos en sus máquinas.

La siguiente imagen muestra una de las publicaciones creadas por los atacantes en la página de redes sociales. Dicha publicación incluye un enlace que conduce a un dominio con error tipográfico, que se hace pasar por el sitio web oficial de ChatGPT. Esto puede inducir a los usuarios a pensar que están accediendo al sitio web oficial de ChatGPT y persuadirlos a probar ChatGPT en su PC.

Otra publicación también hace referencia a Jukebox, una herramienta basada en IA creada por OpenAI que mejora la creación de música y audio. Sin embargo, la publicación también presenta un enlace que conduce a otro dominio con error tipográfico, “hxxps://chat-gpt-pc.online“, tal como se muestra a continuación.

Ambos dominios con errores tipográficos finalmente conducen a un sitio web de OpenAI falsificado que parece ser el sitio web oficial genuino. Este sitio web falso presenta a los usuarios un botón “DESCARGAR PARA WINDOWS” que, al hacer clic, descarga archivos ejecutables potencialmente dañinos.

Cuando el usuario hace clic en el botón “DESCARGAR PARA WINDOWS” en el sitio web de phishing, se descarga automáticamente un archivo comprimido llamado “ChatGPT-OpenAI-Pro-Full-134676745403.gz” desde la URL “hxxps://rebrand.ly/qaltfnuOpenAI”.

Este archivo comprimido incluye un archivo ejecutable llamado “ChatGPT-OpenAI-Pro-Full-134676745403.exe” (sha256:53ab0aecf4f91a7ce0c391cc6507f79f669bac033c7b3be2517406426f7f37f0, que es, en realidad un malware. Una vez que se ejecuta el malware, este puede recopilar datos confidenciales sin el conocimiento de la víctima.

Campañas de phishing

Pero eso no es todo, los investigadores también  analizaron a fondo varios dominios con errores tipográficos relacionados con OpenAI y ChatGPT y descubrieron que estaban siendo utilizados para ataques de phishing. Durante la investigación, identificaron que estos sitios de phishing también estaban distribuyendo varias familias de malware notorias como Lumma, Aurora y Clipper

Los ciberdelincuentes clonaron el sitio web de ChatGPT y reemplazaron el enlace del botón “TRY CHATGPT” con enlaces maliciosos que alojan a Lumma Stealer.

El botón etiquetado como “TRY CHATGPT” en la página de phishing es en realidad un enlace de descarga para un archivo llamado “Installer_3.64_win64_86-setup+manual.zip“. Dentro de este archivo, hay un archivo llamado “Installer_3.64_win64_86.exe”, que en realidad es un archivo ejecutable para el malware Lumma.

El dominio hxxp://chatgpt-go.online/ también sirve como host para varios tipos de archivos maliciosos. El malware clipper está alojado en hxxp://chatgpt-go.online/clip[.]exe, y Aurora está alojado en hxxp://chatgpt-go.online/java[.]exe.

La siguiente imagen muestra otro sitio de phishing, hxxps://chat-gpt-online-pc[.]com descargando un malware (sha256: 60e0279b7cff89ec8bc1c892244989d73f45c6fcc3e432eaca5ae113f71f38c5).

Página de phishing para robo de tarjetas de crédito

Además de albergar malware, los atacantes también utilizan señuelos basados ​​en ChatGPT y OpenAI para cometer fraude financiero. Una táctica común consiste en crear páginas de pago falsas relacionadas con ChatGPT que están diseñadas para robar el dinero y la información de la tarjeta de crédito de las víctimas.

La imagen a continuación muestra un ejemplo de una página de pago de ChatGPT fraudulenta.

Software malicioso de Android

Los investigadores han identificado más de 50 aplicaciones falsas y maliciosas que utilizan el ícono de ChatGPT para realizar actividades dañinas. Estas aplicaciones pertenecen a diferentes familias de malware, como programas potencialmente no deseados, adware, spyware, fraude de facturación, etc.

Conclusión

Los ciberdelincuentes a menudo se hacen pasar por una entidad genuina y famosa para parecer legítimos y llevar a cabo actividades maliciosas. A medida que la popularidad de ChatGPT continúa aumentando, se ha convertido en un objetivo para los atacantes que lanzan malware y ataques de phishing para atacar a sus víctimas. La investigación ha demostrado que estos atacantes están imitando a ChatGPT para distribuir malware en las plataformas Windows y Android y lanzar ataques de phishing.

Al hacerse pasar por ChatGPT, los actores malintencionados buscan engañar a los usuarios para que piensen que están interactuando con una fuente legítima y confiable cuando en realidad están expuestos a contenido dañino y malicioso.

Los usuarios que sean víctimas de estas campañas maliciosas podrían sufrir pérdidas financieras o incluso comprometer su información personal, causando un daño significativo.

Recomendaciones

• A continuación, te mostramos algunas de las mejores prácticas esenciales de ciberseguridad que debes seguir. 
• Evitar descargar archivos de sitios web desconocidos.
• Utilizar un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, incluidos PC, portátiles y dispositivos móviles.
• Abstenerte de abrir enlaces y archivos adjuntos de correo electrónico que no sean de confianza sin verificar primero su autenticidad.
• Descargar e instalar software solo desde tiendas de aplicaciones oficiales como Google Play Store o App Store.
• Utilizar contraseñas seguras y aplicar la autenticación multifactor siempre que sea posible.
• Ten cuidado al abrir cualquier enlace recibido a través de SMS o correos electrónicos enviados a tu teléfono.
• Asegúrate de que Google Play Protect esté habilitado en los dispositivos Android.
• Ten cuidado al habilitar cualquier permiso.
• Mantén actualizados tus dispositivos, sistemas operativos y aplicaciones.