O uso de ferramentas de inteligência artificial para atividades maliciosas na internet não é novidade desde a popularização dos chatbots de IA. Sabendo que cada vez mais pessoas utilizam este tipo de software, os criminosos estão sempre a desenvolver novas formas de enganar os utilizadores com campanhas que se aproveitam das IAs de alguma forma.
Desta vez, a empresa desenvolvedora de soluções de cibersegurança Push Security descobriu uma nova campanha de malvertising batizada de LLMShare, que utiliza o Google Ads para direcionar utilizadores que estão à procura do site do ChatGPT para uma página maliciosa e instalar malware nos dispositivos.
A campanha maliciosa que explora a reputação do ChatGPT acontece através de anúncios no Google comprados pelos criminosos. A promoção da página falsa do chatbot foi feita no Google Ads com termos como “chatgpt”, “chatgpt free”, “chat gpt” e também erros de escrita que possivelmente seriam introduzidos pelos utilizadores, como “chatgo”, “chatgot” e “cvhatgpt”.
Como resultado, os anúncios criados pelos criminosos exibiam domínios muito convincentes, capazes de enganar muitos utilizadores que clicam no primeiro resultado de pesquisa que aparece no Google.
Para evitar suspeitas sobre a autenticidade do conteúdo, os atacantes criaram uma página HTML personalizada que utiliza a funcionalidade de renderização de código do ChatGPT para gerar uma página com um link autêntico do chatbot, simulando uma interrupção da ferramenta. Ou seja, o conteúdo criado dentro do ChatGPT utilizando códigos CSS e HTML personalizados redirecionava os utilizadores para um site malicioso.
Como o domínio do ChatGPT é considerado confiável pelos sistemas de reputação de URLs utilizados globalmente, os navegadores não alertavam os utilizadores de que aquela página era ilegítima ou representava riscos de segurança.
Na página falsa, mas com uma interface muito semelhante à utilizada pela OpenAI, era exibida a mensagem de erro: "Estamos com um tráfego elevado de momento. O nosso site está temporariamente indisponível devido ao grande número de utilizadores. Descarregue a nossa aplicação para desktop para continuar." Um botão para descarregar estava posicionado logo abaixo.
Ao clicar no botão de descarregamento, os utilizadores eram levados para outra página falsa da OpenAI, que também contava com um design muito convincente e apresentava opções para instalar a suposta aplicação do ChatGPT para macOS e Windows. Ambos os downloads continham ficheiros executáveis infetados por malwares de roubo de dados.
Para os dispositivos com macOS, a carga maliciosa encontrada foi o Odyssey Stealer, uma variante do Atomic macOS Stealer, capaz de roubar credenciais armazenadas no navegador, dados de carteiras de criptomoedas e tokens de sessão — chaves digitais utilizadas por navegadores e aplicações para autenticar a identidade do utilizador antes de libertar o acesso a funcionalidades.
Nos últimos meses, vários ataques semelhantes foram identificados recorrendo a esta mesma técnica. O mesmo aconteceu com o Claude.ai, que utilizava guias de instalação com a marca “Suporte da Apple”, orientando os utilizadores a abrirem o Terminal dos seus computadores e a colarem um comando que descarregava e instalava um malware de roubo de dados.
Dicas para evitar cair neste tipo de campanha cibercriminosa
-
Evita clicar em anúncios patrocinados ao procurar ferramentas como o ChatGPT, Claude ou Gemini. Os criminosos podem comprar anúncios no Google para promover páginas falsas.
-
Acede sempre através do site oficial, digitando o endereço diretamente no navegador ou utilizando um favorito guardado previamente.
-
Confirma o domínio da página antes de iniciar sessão ou descarregar qualquer ficheiro. Erros de escrita, nomes estranhos ou endereços parecidos com o original são sinais de alerta.
-
Desconfia de mensagens de urgência, como avisos de “tráfego elevado” ou pedidos para descarregar uma aplicação para continuar a usar o serviço.
-
Não instales ficheiros executáveis de páginas suspeitas.
-
Nunca copies comandos para o Terminal ou para a linha de comandos sem saberes exatamente o que fazem. Este é um método comum para instalar malware.
-
Descarrega aplicações apenas de fontes oficiais, como o site da empresa ou lojas de aplicações reconhecidas.
-
Mantém o sistema, navegador e antivírus atualizados para reduzir o risco de infeções por malwares conhecidos.
-
Ativa a autenticação em dois fatores nas tuas contas mais importantes. Isto dificulta o acesso dos criminosos mesmo que roubem a tua palavra-passe.
-
Se suspeitares de uma infeção, altera as palavras-passe, termina sessões abertas e verifica os acessos recentes às tuas contas.
Vê também: A IA está a dar uma ajuda brutal aos hackers e isso é um problema para todos
