Специалисты по информационной безопасности из компании Push Security обнаружили новую тактику злоумышленников, которые применяют подлинные домены для распространения вредоносного программного обеспечения. Новая стратегия получила название LLMShare.

Изображение: Push Security

Её работа основывается на возможности обмена данными между популярными чат-ботами, в число которых входит ChatGPT. На реальных доменах злоумышленники показывают HTML-макет, пытаясь убедить посетителей, что сервис в настоящее время испытывает проблемы в работе. Например, сообщение может гласить о высокой нагрузке. Цель состоит в том, чтобы пользователь не дожидался восстановления сервиса и скачал его версию для работы на ПК.

Заманивать жертв помогает спонсируемая реклама в поиске Google. Рекламные объявления могут содержать такие слова, как «ChatGPT», «настольное приложение ChatGPT» или «загрузка ChatGPT». Кликая по ним, пользователь попадает по адресу вроде chatgpt.com/s/[unique-id]. Домен реальный, поэтому брандмауэр не блокирует доступ.

Изображение: Push Security

Когда пользователь нажимает на этой странице на кнопку скачивания, он попадает на внешний домен openew[.]app. Отсюда происходит скачивание вредоносных программ для Windows и macOS.

На странице происходит анализ того, не используются ли автоматические тестовые песочницы. Если это так, сайт не выполняет вредоносных действий. Когда исполняемый файл запускали специалисты фирмы BleepingComputer, он выполнял проверки относительно того, происходил запуск на обычном рабочем столе или в виртуальной машине.