Betroffene Nutzer: Malware-Download-Website nutzt ChatGPT als Waffe in Suchergebnissen

Den Opfern werden mehrere Download-Optionen angeboten, darunter für Windows, macOS und eine Chrome-Erweiterung. Während die Browser-Erweiterung zu einer legitimen Auflistung weiterleitet, Vertrauen zu schaffen, liefern die Installer für Windows und macOS trojanisierte Payloads.

Die Domain wurde kürzlich über Namecheap registriert und leitet auf die IP-Adresse 144[.]172[.]104[.]205, die auf der Infrastruktur, einem Anbieter, der häufig in kurzlebigen bösartigen Kampagnen beobachtet wurde.

Die Windows-Payload, die als Chat_GPT.exe (SHA256: 56CC26E88C064B0C423AA8AD6530E58F91D1E4D28FAB1A8BCEDEF16A6582B4D2) verbreitet wird, nutzt einen Inno Setup Installer, um eine auf Electron basierende Anwendung zu installieren.

Obwohl die Binärdatei auf den ersten

Obwohl die Binärdatei auf den ersten Blick legitim erscheint, weist sie Inkonsistenzen auf, darunter abweichende Metadaten und ein Code-Signing-Zertifikat, das an eine unbeteiligte Entität, F.F.A.P. Hurkmans Beheer B.V., ausgestellt wurde.

Fake ChatGPT Site Spreads Malware via Ads verdeutlicht eine gängige Taktik, bei der gültige Signaturen missbraucht werden, um das Misstrauen der Benutzer zu umgehen, ohne die Legitimität der Software zu garantieren.

Die statische Analyse zeigt, dass die Anwendung ein Chromium-basiertes Laufzeitumfeld mit einem verschlüsselten JavaScript-Payload enthält, das in der App.asar-Datei gespeichert ist.

Ein großes Skript, das als winter.js

Ein großes Skript, das als winter.js identifiziert wurde, enthält stark verschlüsselte Logik, die verschlüsselte Zeichenfolgen und dynamische Ausführungsmechanismen verwendet, was eine einfache Analyse erschwert.

Die Anwendung umfasst Node.js-Module wie child_process, fs und systeminformation, was Fähigkeiten zur Systemaufklärung, zur Dateimanipulation und zur Befehlsausführung nahelegt.

Die dynamische Analyse zeigt, dass das Malware-Tool vor der Ausführung seiner Kernfunktionalität eine CAPTCHA-basierte Zugangskontrolle einsetzt, eine Technik, die darauf ausgelegt ist, automatisierte Sandkasten-Erkennung zu umgehen.

Sicherheitslage und Risiko

Sobald der Nutzer das CAPTCHA bestanden hat, startet das Malware-Tool mehrere PowerShell-Prozesse mit Ausführungsflags wie „-ExecutionPolicy Unrestricted", was auf eine gestufte Payload-Lieferung hindeutet, bei der Befehle zur Laufzeit injiziert werden, anstatt statisch eingebettet zu sein.

Laut dem SOC-Team ein Chromium-artiges Profil unter %AppData%\Satoshi, Persistenz sicherzustellen und Daten wie Cookies und Cache-Dateien zu speichern.

Dieses Verhalten Kombination mit ereignisgesteuerter Ausführung deutet darauf hin, dass das Malware-Tool seine primären Aktionen bis zum Eintreten bestimmter Benutzerinteraktionen verzögert, was die Erkennung weiter erschwert.

Technischer Hintergrund

Interessanterweise verweisen die eingebetteten Netzwerkkonfigurationen auf legitime DNS-over-HTTPS-Dienste wie Cloudflare und Google, wodurch bösartiger Verkehr in normalen verschlüsselten DNS-Verkehr integriert wird. Dieser Ansatz hilft, Command-and-Control-Kommunikationen zu verschleiern und herkömmliche Netzwerküberwachungstools zu umgehen.

Die macOS-Variante (SHA256: 7E5B708F6659B1FAD3AAE7B589A706434FBF21708AEEC5AF5910189B96E25FEF) blieb zum Zeitpunkt der Entdeckung weitgehend, was entweder auf eine geringe Verbreitung oder wirksame Umgehungsmaßnahmen hindeutet.

Diese Kampagne zeigt, wie Bedrohungsakteure Malvertising-Strategien weiterentwickeln, indem sie vertrauenswürdige Marken, moderne Anwendungsframeworks wie Electron und mehrschichtige Umgehungsmaßnahmen, einschließlich Obfuskation, CAPTCHA-Validierung und gestaffelte Ausführung, kombinieren.

Sicherheitslage und Risiko

Gegensatz zum traditionellen Phishing richtet sich Malvertising Nutzer mit hoher Absicht, wodurch die initiale Kompromittierung wirksamer wird. Für Verteidiger sind entscheidende Signale unerwartete Electron-Anwendungen, die Skripting-Engines starten, abgestimmte Installer-Metadaten und ungewöhnliche Verzeichnisse wie %APPDATA%\Satoshi.

Die Überwachung neu registrierter Domänen, die Softwarehersteller impersonieren, und die Analyse des Prozessverhaltens statt der alleinigen Verlässlichkeit auf Signaturen bleibt kritisch.

Da KI-Tools zunehmend breite Anwendung finden, unterstreichen Kampagnen wie diese das wachsende Risiko und betonen die Notwendigkeit stärkerer Benutzerbewusstseinsmaßnahmen und verhaltensbasierter Erkennungskontrollen. Abi ist Sicherheitsredakteurin und weitere Reporterin bei