Nadużycia funkcji udostępniania w ChatGPT nowym wektorem phishingu i dystrybucji malware - Security Bez Tabu

Nadużycia funkcji udostępniania w ChatGPT nowym wektorem phishingu i dystrybucji malware

Cybersecurity news

Wprowadzenie do problemu / definicja

Funkcje udostępniania treści w platformach AI miały wspierać współpracę, publikowanie instrukcji oraz wymianę wiedzy. W praktyce stały się jednak atrakcyjnym narzędziem dla cyberprzestępców, którzy wykorzystują zaufanie użytkowników do rozpoznawalnych usług i renomowanych domen. Coraz częściej publicznie dostępne, współdzielone rozmowy są używane jako nośnik fałszywych poradników technicznych, treści phishingowych oraz instrukcji prowadzących do uruchomienia złośliwego oprogramowania.

Problem nie polega na przełamaniu zabezpieczeń samej platformy, lecz na nadużyciu legalnej funkcjonalności. Dzięki temu atakujący mogą osadzać szkodliwe komunikaty w środowisku, które z perspektywy ofiary wygląda wiarygodnie i nie wzbudza natychmiastowych podejrzeń.

W skrócie

Badacze bezpieczeństwa opisują kampanie, w których przestępcy wykorzystują funkcję udostępniania rozmów w ChatGPT do publikowania spreparowanych instrukcji przypominających autentyczne poradniki administracyjne lub techniczne. Następnie ofiary są kierowane do takich materiałów za pośrednictwem socjotechniki, wiadomości phishingowych, wpisów na forach lub fałszywych komunikatów o problemach technicznych.

  • Treść jest hostowana w zaufanym środowisku kojarzonym z legalną usługą AI.
  • Ofiara otrzymuje instrukcje skopiowania i uruchomienia komend w terminalu lub PowerShellu.
  • Atak może prowadzić do pobrania malware, w tym infostealerów.
  • Reputacja domeny utrudnia wykrycie zagrożenia przez użytkowników i część mechanizmów ochronnych.

Kontekst / historia

Nadużywanie legalnych usług internetowych do hostowania złośliwych treści nie jest nowym zjawiskiem. W przeszłości podobne techniki obserwowano w usługach przechowywania plików, dokumentach online, formularzach czy platformach publikacyjnych. Cyberprzestępcy od dawna wykorzystują fakt, że użytkownicy i systemy bezpieczeństwa częściej ufają znanym markom niż nowym, podejrzanym domenom.

Rozwój generatywnej AI otworzył kolejny etap tej ewolucji. Zamiast tworzyć klasyczne fałszywe strony wsparcia technicznego, napastnicy mogą przygotować rozmowę wyglądającą jak profesjonalna instrukcja, a następnie opublikować ją jako współdzielony materiał. Taki schemat zwiększa wiarygodność przekazu i pozwala łatwiej nakłonić użytkownika do wykonania niebezpiecznych działań.

Analiza techniczna

Mechanizm ataku opiera się na kilku warstwach. Najpierw napastnik przygotowuje rozmowę z modelem tak, aby końcowy wynik przypominał autorytatywny poradnik operacyjny, instrukcję instalacji lub procedurę naprawczą. Treść bywa odpowiednio formatowana i oczyszczana z elementów mogących zdradzić manipulację.

Następnie rozmowa jest publikowana jako współdzielona konwersacja. Dla odbiorcy oznacza to, że materiał znajduje się pod renomowaną domeną i jest prezentowany w interfejsie kojarzonym z legalnym narzędziem. W wielu organizacjach taki adres nie wzbudza automatycznego alarmu, ponieważ polityki bezpieczeństwa często silnie opierają się na reputacji domeny.

Najgroźniejszy etap następuje wtedy, gdy użytkownik zostaje przekonany do ręcznego wykonania polecenia. Zamiast klasycznego pobrania pliku z podejrzanej strony, ofiara sama uruchamia komendę w terminalu, powłoce systemowej lub PowerShellu. Taki model user-assisted execution bywa skuteczny, ponieważ część mechanizmów ochronnych jest projektowana przede wszystkim z myślą o wykrywaniu złośliwych plików, a nie komend świadomie kopiowanych przez użytkownika.

W opisywanych kampaniach pojawiają się scenariusze związane z macOS, w których ofiara otrzymuje instrukcję użycia komend pobierających i uruchamiających szkodliwy kod. Taki schemat wpisuje się w rosnącą popularność ataków typu ClickFix i fake-helpdesk, gdzie kluczowe znaczenie ma socjotechnika, a nie exploit wykorzystujący lukę techniczną.

Z perspektywy obrony szczególnie problematyczne jest to, że sama współdzielona rozmowa może nie zawierać klasycznych wskaźników phishingu. Nie ma tu literówki w domenie, podejrzanego certyfikatu ani świeżo zarejestrowanego adresu. Zagrożenie ujawnia się dopiero na poziomie treści instrukcji, intencji napastnika i końcowego zachowania użytkownika.

Konsekwencje / ryzyko

Najważniejszą konsekwencją jest wzrost skuteczności ataków socjotechnicznych. Użytkownicy coraz częściej traktują treści prezentowane w narzędziach AI jako pomocne i wiarygodne, zwłaszcza gdy dotyczą administracji systemami, konfiguracji oprogramowania lub rozwiązywania problemów technicznych. To tworzy sprzyjające warunki do infekcji.

  • zainfekowanie stacji roboczej malware, w tym infostealerem,
  • kradzież haseł, tokenów sesyjnych i danych z przeglądarek,
  • przejęcie kont firmowych oraz dalszy ruch boczny w środowisku organizacji,
  • obejście części filtrów URL i mechanizmów reputacyjnych,
  • utrudnione dochodzenie incydentu z uwagi na wykorzystanie legalnej usługi.

Szczególnie narażone są zespoły IT, administratorzy i deweloperzy, ponieważ częściej pracują z terminalem, uruchamiają skrypty i posiadają podwyższone uprawnienia. W takich warunkach pojedyncza błędna komenda może prowadzić do kompromitacji urządzenia o wysokiej wartości dla napastnika.

Rekomendacje

Organizacje powinny traktować współdzielone treści z platform AI tak samo ostrożnie jak zewnętrzne dokumenty, poradniki i skrypty. Sama obecność materiału w renomowanej usłudze nie może być utożsamiana z jego autentycznością ani bezpieczeństwem.

  • prowadzić szkolenia uświadamiające, że współdzielony czat AI nie jest oficjalną dokumentacją producenta,
  • monitorować i ograniczać uruchamianie komend shell, PowerShell oraz skryptów inicjowanych na podstawie treści z internetu,
  • stosować zasadę najmniejszych uprawnień i redukować lokalne uprawnienia administracyjne,
  • wdrożyć monitoring procesów potomnych uruchamianych przez terminale i interpretery skryptowe,
  • wykrywać nietypowe użycie narzędzi takich jak curl, wget, bash, osascript czy PowerShell,
  • egzekwować kontrolę aplikacyjną i uruchamianie wyłącznie zatwierdzonych binariów oraz skryptów,
  • weryfikować instrukcje techniczne w oficjalnych materiałach dostawcy,
  • rozszerzyć polityki secure web gateway i CASB o analizę treści, a nie tylko reputacji domeny,
  • korzystać z EDR lub XDR zdolnego do korelacji działań użytkownika z późniejszym pobraniem i wykonaniem ładunku.

Z perspektywy użytkownika końcowego podstawowa zasada pozostaje niezmienna: nie należy uruchamiać komend skopiowanych z udostępnionych rozmów bez niezależnej weryfikacji ich działania i źródła. Szczególną ostrożność trzeba zachować wobec poleceń pobierających skrypty bezpośrednio z sieci i natychmiast je wykonujących.

Podsumowanie

Nadużycia funkcji udostępniania treści w ChatGPT pokazują, że platformy AI stają się elementem współczesnego krajobrazu zagrożeń. Atakujący nie muszą przełamywać zabezpieczeń usługi, aby wykorzystać ją jako zaufany nośnik socjotechniki i dystrybucji malware. Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od prostego modelu oceny ryzyka opartego wyłącznie na reputacji domeny i przejścia do analizy kontekstu, treści oraz zachowań użytkownika.

Źródła

  1. https://www.infosecurity-magazine.com/news/attackers-shared-content-chatgpt/
  2. https://www.kaspersky.com/blog/share-chatgpt-chat-clickfix-macos-amos-infostealer/54928/
  3. https://cyberinsider.com/macos-infostealer-abuses-chatgpts-share-feature-to-infect-users/