Preko 101.100 kompromitovanih OpenAI ChatGPT kredencijala našlo se na ilegalnim tržištima dark web-a između juna 2022. i maja 2023. godine, a samo Indija ima 12.632 ukradenih kredencijala.
Kredencijali su otkriveni u evidenciji krađi informacija dostupnim za prodaju u podzemlju kibernetičkog kriminala, navodi Group-IB u izvještaju podijeljenom za The Hacker News.
“Broj dostupnih dnevnika koji sadrže kompromitovane ChatGPT naloge dostigao je vrhunac od 26.802 u maju 2023. godine” saopštila je kompanija sa sjedištem u Singapuru. “Azijsko-pacifička regija doživjela je najveću koncentraciju ChatGPT kredencijala koje su ponuđene na prodaju u protekloj godini.”
Druge zemlje sa najvećim brojem ugroženih ChatGPT kredencijala su Pakistan, Brazil, Vijetnam, Egipat, SAD, Francuska, Maroko, Indonezija i Bangladeš.
Daljnja analiza je otkrila da je većina dnevnika koji sadrže ChatGPT naloge probijena od strane ozloglašenog kradljivaca informacija Raccoon (78.348), a zatim Vidar (12.984) i RedLine (6.773).
Kradljivci informacija postali su popularni među kibernetičkim kriminalcima zbog svoje sposobnosti da otmu lozinke, kolačiće, kreditne kartice i druge informacije iz pretraživača i ekstenzija novčanika za kriptovalute.
“Dnevnici koji sadrže kompromitovane informacije koje su prikupili kradljivači informacija aktivno se trguju na dark web tržištima” kaže Group-IB.
“Dodatne informacije o logovima dostupnim na takvim tržištima uključuju liste domena koje se nalaze u dnevniku, kao i informacije o IP adresi kompromitovanog host-a.”
Obično se nude na osnovu modela cijena zasnovanog na pretplati, oni ne samo da su snizili ljestvicu kibernetičkog kriminala, već služe i kao kanal za pokretanje naknadnih napada korištenjem preuzetih kredencijala.
„Mnoge kompanije integrišu ChatGPT u svoj operativni tok“ rekao je Dmitrij Šestakov, šef obaveštajnih podataka o pretnjama u Group-IB.
“Zaposleni unose povjerljive prepiske ili koriste bot za optimizaciju vlasničkog koda. S obzirom na to da standardna konfiguracija ChatGPT-a zadržava sve razgovore, ovo bi nehotice moglo ponuditi riznicu osjetljivih obavještajnih podataka hakerima ako pribave kredencijale naloga.”
Da bi se umanjili takvi rizici, preporučuje se da korisnici slijede odgovarajuću higijenu lozinki i osiguraju svoje naloge dvofaktorskom autentifikacijom (2FA) kako bi spriječili napade preuzimanja naloga.
Razvoj dolazi usred tekuće kampanje malicioznog softvera koja koristi lažne stranice OnlyFans i sadržaje za odrasle kao mamci za isporuku trojanca za daljinski pristup i kradljivca informacija pod nazivom DCRat (ili DarkCrystal RAT), modifikovanu verziju AsyncRAT-a.
“U zapaženim slučajevima, žrtve su namamljene da preuzmu ZIP datoteke koje sadrže VBScript loader koji se izvršava ručno” rekli su istraživači eSentire-a, napominjući da je aktivnost u toku od januara 2023. godine.
“Konvencija o imenovanju datoteka sugeriše da su žrtve namamljene korištenjem eksplicitnih fotografija ili sadržaja OnlyFans za različite glumice filmova za odrasle.”
Takođe prati otkriće nove VBScript varijante malicioznog softvera pod nazivom GuLoader (aka CloudEyE) koji koristi mamce sa temom poreza za pokretanje PowerShell skripti sposobnih za preuzimanje i ubrizgavanje Remcos RAT-a u legitiman Windows proces.
“GuLoader je izbjegavajući loader malicioznog softvera koji se obično koristi za isporuku alata za krađu informacija i alata za udaljenu administraciju (RAT)” rekla je kanadska kompanija za kibernetičku bezbjednost u izvještaju objavljenom ranije ovog mjeseca.
“GuLoader koristi korisničke skripte ili datoteke prečaca za izvršavanje više rundi nejasnih naredbi i šifrovanog shell koda. Rezultat je maliciozni softver rezidentan u memoriji koji radi unutar legitimnog Windows procesa.”
Izvor: The Hacker News