חוקרי אבטחת המידע מחברת Kaspersky חשפו באחרונה מתקפת פישינג חדשה שמכוונת למשתמשי macOS ונשענת על תכונת השיתוף של ChatGPT. על פי הדיווח, האקרים מנצלים את האפשרות לפרסם שיחות משותפות (Chat Share) כדי להפיץ מדריכי התקנה מזויפים של דפדפן בשם "Atlas" - שהינו למעשה לא קיים.
ההונאה מתחילה כאשר משתמשים מחפשים בגוגל ביטויים כמו "ChatGPT Atlas", ונתקלים במודעות ממומנות המובילות לכאורה לאתרים של chatgpt.com, כתובת שנראית לגיטימית לחלוטין. בעמודים הללו מוצגים הוראות מפורטות להתקנת הדפדפן המזויף, הכוללות פקודת טרמינל שעל המשתמש להעתיק ולהריץ - אך למעשה מדובר בסקריפט זדוני שמוריד לקורבן את נוזקת ה-AMOS (Atomic macOS Stealer).
לאחר ההרצה, התוכנה דורשת שוב ושוב את סיסמת המשתמש, עד לקבלת ההרשאות הנדרשות, ואז מתקינה באופן חשאי את ה-AMOS. ברגע שהנוזקה פעילה, היא שואבת סיסמאות, קובצי עוגיות (cookies), נתוני דפדפנים של Chrome ו-Firefox, וכן מידע מארנקים דיגיטליים כמו Electrum, Coinomi ו-Exodus. בנוסף, היא סורקת את תיקיות Desktop, Documents ו-Downloads אחר מסמכים בקבצי TXT, PDF ו-DOCX.
עוד דווח כי ה-AMOS מקימה דלת אחורית (Backdoor) מתמשכת, שמאפשרת לתוקפים גישה מרחוק גם לאחר אתחול המחשב. לפי Moonlock, קמפיינים של הנוזקה פגעו כבר בלמעלה מ-120 מדינות, כאשר ארצות הברית, צרפת, איטליה, בריטניה וקנדה הן בין הנפגעות העיקריות. חברת CrowdStrike דיווחה כי חסמה מעל 300 ניסיונות תקיפה כאלה רק בין יוני לאוגוסט 2025.
המועד שנבחר למתקפה אינו מקרי - הוא הגיע זמן קצר לאחר השקתה של גרסת ChatGPT Atlas הרשמית למק בחודש אוקטובר, מה שסייע לתוקפים לנצל את סקרנות הציבור ולהיראות אמינים.
מומחי אבטחת מידע מזהירים מפני הרצת פקודות טרמינל ממקורות לא מאומתים, גם אם הן נראות ממקור אמין, וממליצים לבדוק כל קובץ או קוד באמצעות תוכנת הגנה מעודכנת. ב-Kaspersky אף מציעים להשתמש בכלים כמו ChatGPT עצמו להסבר תפקוד הקוד לפני ביצועו - ולהסיר מיד כל הרחבה או אפליקציה שמקורה לא ברור.
0 תגובות