Специалисты по информационной безопасности из компании Push Security обнаружили новую тактику злоумышленников, которые применяют подлинные домены для распространения вредоносного программного обеспечения. Новая стратегия получила название LLMShare.
Изображение: Push Security
Её работа основывается на возможности обмена данными между популярными чат-ботами, в число которых входит ChatGPT. На реальных доменах злоумышленники показывают HTML-макет, пытаясь убедить посетителей, что сервис в настоящее время испытывает проблемы в работе. Например, сообщение может гласить о высокой нагрузке. Цель состоит в том, чтобы пользователь не дожидался восстановления сервиса и скачал его версию для работы на ПК.
Заманивать жертв помогает спонсируемая реклама в поиске Google. Рекламные объявления могут содержать такие слова, как «ChatGPT», «настольное приложение ChatGPT» или «загрузка ChatGPT». Кликая по ним, пользователь попадает по адресу вроде chatgpt.com/s/[unique-id]. Домен реальный, поэтому брандмауэр не блокирует доступ.
Изображение: Push Security
Когда пользователь нажимает на этой странице на кнопку скачивания, он попадает на внешний домен openew[.]app. Отсюда происходит скачивание вредоносных программ для Windows и macOS.
На странице происходит анализ того, не используются ли автоматические тестовые песочницы. Если это так, сайт не выполняет вредоносных действий. Когда исполняемый файл запускали специалисты фирмы BleepingComputer, он выполнял проверки относительно того, происходил запуск на обычном рабочем столе или в виртуальной машине.
Читайте далее на сайте
Nvidia и Microsoft анонсировали «новую эру ПК» перед Computex 2026
Первые ПК с ОС Windows на чипах NVIDIA представят уже на следующей неделе
В США готовят законопроект для беспилотных грузовиков и выделяют $27,5 млн на переобучение водителей
Новая криптовалюта Pearl для ИИ привлекла много майнеров, но прибыль рухнула на 49%
Аналитик усомнился в успехе «Новой эры ПК» на базе Nvidia N1X и N1