„Apple“ naudotojai pavojuje: per „ChatGPT“ ir „Grok“ platinama kenkėjiška programa

Kibernetiniai nusikaltėliai pradėjo pavojingą kampaniją, pasinaudodami populiariomis dirbtinio intelekto (DI) platformomis, tokiomis kaip „ChatGPT“ ir „Grok“, kad užkrėstų „Apple“ kompiuterius. Vartotojams nebereikia atsisiųsti jokių failų – pakanka vykdyti nurodymus, kurie atrodo visiškai teisėti.

Kenksmingos instrukcijos per „Google“ paiešką

Gruodžio 5 d. saugumo įmonė „Huntress“ nustatė, kad užpuolikai naudoja vadinamąją „SEO apsinuodijimo“ (angl. SEO poisoning) taktiką, manipuliuodami „Google“ paieškos rezultatais. 

Vartotojai, ieškantys techninės pagalbos dažniausiai pasitaikančiais klausimais – pavyzdžiui, „kaip atlaisvinti vietos macOS“ arba „kaip išvalyti duomenis iMac kompiuteryje“ – aukščiausiuose rezultatuose randa pokalbius, talpinamus „OpenAI“ „ChatGPT“ ir „xAI“ „Grok“ platformose.

Šie puslapiai atrodo patikimi: juose naudojamas profesionalus formatavimas, numeruoti žingsniai ir raminančios frazės, tokios kaip „saugiai ištrina“ arba „nepaliečia jūsų asmeninių duomenų“. Tačiau juose nurodoma vartotojams nukopijuoti tam tikrą kodo fragmentą ir įklijuoti jį tiesiai į macOS „Terminal“, kas ir leidžia kenkėjiškai programai patekti į sistemą.

Kaip veikia kenkėjiška programa?

Ši ataka skiriasi nuo įprastų – ji nevilioja vartotojų į netikras svetaines ir neprašo atsisiųsti failų. Vietoje to pasinaudojama patikimų dirbtinio intelekto platformų autoritetu.

Vartotojui įklijavus pateiktą komandą į macOS „Terminal“, paleidžiamas paslėptas scenarijus, kuris paprašo įvesti kompiuterio slaptažodį. Slaptažodis patikrinamas fone, be jokių įprastų macOS saugumo langų ar perspėjimų.

Jei slaptažodis teisingas, jis išsaugomas, o programa iš karto įgyja administratoriaus teises. Tai leidžia tyliai įdiegti kenkėjišką programą „Atomic macOS Stealer“ (AMOS), kuri paslepiama vartotojo kataloge esančiame aplanke „.helper“.

Ką daro kenkėjiška programa?

Įdiegta AMOS vagia jautrią informaciją. Ji taikosi į kriptovaliutų pinigines, tokias kaip „Ledger“ ir „Trezor“, pakeisdama jas suklastotomis programomis, kurios renka atkūrimo (seed) frazes.

Be to, programa surenka naršyklėse išsaugotus slaptažodžius, macOS raktinės (Keychain) duomenis ir kitą asmeninę informaciją, kuri perduodama nusikaltėliams.

Kenkėjiška programa taip pat geba „išgyventi“ sistemoje: ji įdiegia paslėptą mechanizmą, kuris nuolat stebi, ar programa veikia. Net ją uždarius ar perkrovus kompiuterį, infekcija automatiškai atsinaujina.

Kodėl vartotojai patenka į spąstus?

„Huntress“ tyrėjai pastebėjo, kad užpuolikai kuria kenkėjiškus nurodymus, viešai skelbia pokalbius ir net reklamuoja juos „Google“ paieškoje. Vartotojai pasitiki instrukcijomis, nes jos pateikiamos per žinomas DI platformas ir atrodo kaip įprasta užduotis, reikalaujanti „Terminal“ prieigos.

„Visa užkrėtimo grandinė atrodo normaliai ir saugiai,“ – pažymėjo „Huntress“. Vartotojai nesielgia neatsargiai ir nepaiso saugumo pranešimų.

Saugumo ekspertai pataria nevykdyti komandų „Terminal“ ar naršyklės adreso juostoje, jei jų kilmė neaiški, net jei informacija atrodo patikimoje svetainėje. Įmonės turėtų stebėti neįprastą veiklą, pavyzdžiui, netikėtą „dscl-authonly“ naudojimą ar paslėptus scenarijus vartotojų kataloguose.