Ataques de phishing dirigidos a los servicios basados en ChatGPT

ChatGPT es un sistema de chat basado en el modelo de lenguaje por Inteligencia Artificial GPT-3, desarrollado por la empresa OpenAI. Este sistema de chat con inteligencia artificial se trata de uno de los sistemas de IA más capaces que se ha probado en los últimos tiempos, capaz de responder a cualquier cosa que se le pida y de hacer muchas cosas que se le solicite.

Aunque ChatGPT ha sido ampliamente adoptado por usuarios legítimos que buscan mejorar su productividad, también ha sido explotado por varios actores de amenazas.

Se han detectado varios sitios web de phishing que se promocionan a través de una página fraudulenta de redes sociales de OpenAI para propagar varios tipos de malware. Además, varios sitios de phishing se hacen pasar por ChatGPT para robar información de tarjetas de crédito.

Varias familias de malware de Android están utilizando el ícono y el nombre de ChatGPT para engañar a los usuarios haciéndoles creer que son aplicaciones auténticas, lo que podría ocasionar el robo de información confidencial de los dispositivos Android.

Dinámica de ataque

Redes sociales no oficiales de ChatGPT realizan publicaciones en la página que contienen enlaces que llevan a los usuarios a sitios de phishing que se hacen pasar por ChatGPT. Estas páginas de phishing engañan a los usuarios para que descarguen archivos maliciosos en sus máquinas.

Los dominios con errores tipográficos eventualmente conducen a un sitio web de OpenAI falsificado que parece ser el sitio web oficial genuino. Este sitio web falso presenta a los usuarios un botón «DOWNLOAD FOR WINDOWS» que permite la descarga de archivos ejecutables potencialmente dañinos. Al hacer click se descarga un archivo comprimido llamado «ChatGPT-OpenAI-Pro-Full-134676745403.gz» desde la URL «hxxps://rebrand.ly/qaltfnuOpenAI”.

Este archivo comprimido incluye un archivo ejecutable llamado “ChatGPT-OpenAI-Pro-Full-134676745403.exe. Una vez que se ejecuta el malware, puede recopilar datos confidenciales sin el conocimiento de la víctima. Además, se ha verificado que estos sitios de phishing también estaban distribuyendo varias familias de malware como Lumma Stealer, Aurora Stealer, malware clipper, etc.

También utilizan señuelos en ChatGPT y OpenAI para cometer fraude financiero. Una táctica común es crear páginas de pago falsas relacionadas con ChatGPT que están diseñadas para robar dinero e información de tarjetas de crédito de las víctimas.

Se han identificado más de 50 aplicaciones no autorizadas y maliciosas que usan el ícono de ChatGPT para llevar a cabo actividades maliciosas. Estas aplicaciones pertenecen a diferentes familias de malware como programas potencialmente no deseados, adware, spyware, billing fraud, etc.

Indicadores de compromiso

MD5SHA1SHA256
4e8d09ca0543a48f649fce72483777f0cebddeb999f4809cf7fd7186e20dc0cc8b88689dd1b1813f7975b7117931477571a2476decff41f124b84cc7a2074dd00b5eba7c
174539797080a9bcbb3f32c5865700bfc57a3bcf3f71ee1afc1a08c3a5e731df6363c0473ec772d082aa20f4ff5cf01e0d1cac38b4f647ceb79fdd3ffd1aca455ae8f60b
c8aa7a66e87a23e16ecacad6d1337dc4aeb646eeb4205f55f5ba983b1810afb560265091ae4d01a50294c9e6f555fe294aa537d7671fed9bc06450e6e2198021431003f9
94e3791e3ceec63a17ca1a52c4a35089189a16b466bbebba57701109e92e285c2909e8a246200951190736e19be7bcc9c0f97316628acce43fcf5b370faa450e74c5921e
6a481f28affc30aef0d3ec6914d239e4afa741309997ac04a63b4dd9afa9490b6c6235c134b88f680f93385494129bfe3188ce7a0f5934abed4bf6b8e9e78cf491b53727
81e6a150d459642f2f3641c5a462144123f50f990d4533491a76ba619c996b9213d25b4953ab0aecf4f91a7ce0c391cc6507f79f669bac033c7b3be2517406426f7f37f0
5f6f387edf4dc4382f9953bd57fa4c62f1a5a1187624fcf1a5804b9a15a4734d9da5aaf660e0279b7cff89ec8bc1c892244989d73f45c6fcc3e432eaca5ae113f71f38c5
55e034970a133d8c80d03481631ede7249f2777e51566e677dd84bf158b0522005b0e204168f21fd9138ecb3a508f012482dec894d2971a9019ad1dcd740436d149404cd
5b43e2488d9e43cf042cbfa28655b61383b59f9933b1f7319dffa4d69d6030d721de7cb6be809aeb602b191bdf87bd83add7a60c67d67ffc620e098ac84363d6dad561ec
7cbebb645adbe2a39292198896119209 b81700af0895a7e2228914eff57c49421d8220d2998147c8c1a4d68a6c363d0e

URL’s

hxxps://openai-pc-pro[.]onlinehxxp://chatgpt-go.online/clip[.]exe
hxxps://chat-gpt-pc[.]onlinehxxp://chatgpt-go.online/java[.]exe
hxxps://chatgpt-go[.]onlinehxxps://rebrand[.]ly/qaltfnuChatGPTOpenAI

IP’s

69.12.73.19172.64.80.1
198.54.115.120172.67.199.21
172.67.199.2154.196.174.179

Recomendaciones

  • Verificar el URL de la página web que ingresa, si nota algo extraño salir inmediatamente del sitio web.
  • No descargar ni ejecutar archivos de sitios web sospechosos.
  • Introducir datos confidenciales únicamente en sitios webs seguros.

Referencias