La популярността на разговорния изкуствен интелект Широко разпространеното използване на ChatGPT създаде перфектна среда за нови онлайн измами. Под прикритието на полезни ръководства и „официални“ инструменти за интегриране на чатбота в компютрите, киберпрестъпниците внедряват кампании, предназначени да поемат контрол над устройствата и данните на техните собственици.
През последните дни фирмата за киберсигурност Kaspersky подробно описа... активна кампания, насочена към потребители на Mac който разчита на предполагаемо ръководство за инсталиране на ChatGPT за macOS. Куката е инструмент, наречен „ChatGPT Atlas“, представен като удобен начин за използване на чатбота на десктопа, но всъщност служи за внедряване на AMOS infostealer и постоянна задна вратичка към системата.
Как започва измамата: реклами от Google и уебсайтове, които имитират ChatGPT
Атаката започва по начин, който почти никой не би сметнал за подозрителен: спонсорирани реклами в Google и добре позиционирани връзки Когато някой търси как да инсталира или използва ChatGPT на Mac, резултатите на пръв поглед изглеждат легитимни и могат да бъдат сбъркани с официална документация или надеждни технически ръководства.
Чрез кликване върху една от тези реклами, потребителят бива пренасочен към уебсайт, който имитира споделен ChatGPT разговор или предполагаем портал, свързан с услугата. Дизайнът е изчистен.Текстът е добре написан и цялостният му вид излъчва професионализъм, което затруднява мнозина да подозират, че става въпрос за измислица.
Тази страница предлага стъпка по стъпка ръководство за добавяне на помощна програма, наречена „ChatGPT Atlas“ на MacПроцедурата е представена като нещо много обичайно за напредналите потребители: копиране и поставяне на ред код в приложението macOS Terminal. Всеки, който е следвал някое техническо ръководство на Apple, е виждал подобни инструкции, което засилва усещането за нормалност.
Въпреки това, Този единствен команден ред е ядрото на цялата операцияКогато жертвата го стартира, системата изтегля малък инсталатор от външен сървър, свързан с домейна atlas-extensioncom, който действа като първото звено във веригата на заразяване.
От този момент нататък инсталаторът започва да многократно изискване на паролата за Macуж за изпълнение на задачи, изискващи администраторски права. Истинското намерение е да се провери дали въведеният ключ е правилен и след това да се използва за внедряване на зловреден софтуер с всички необходими разрешения, без да се буди подозрение – тактика, напомняща тези, използвани за заобикаляне на защитата на Touch ID.
От пароли за Mac до масова кражба на данни с AMOS
След като инсталаторът потвърди паролата, изтеглете и стартирайте AMOS, крадец на информация, фокусиран върху кражба на информацияБлагодарение на получените привилегии, програмата се интегрира дискретно в системата и работи във фонов режим, без да показва очевидни прозорци или странни грешки, които биха могли да предупредят потребителя.
Целта на AMOS е да осъществи щателно сканиране на данните, съхранени на MacСред основните им цели са запазени пароли, „бисквитки“ и данни за вход в основните браузъри, което позволява на атакуващите да имат достъп до акаунти за онлайн услуги, без директно да знаят оригиналните пароли и улеснява... кражба на самоличност.
Освен това, зловредният софтуер е насочен към широко разпространени приложения както в лична, така и в професионална средаАнализът на Kaspersky специално споменава Telegram Desktop и OpenVPN Connect, често срещани инструменти за криптирана комуникация и отдалечени връзки. Ако тези идентификационни данни попаднат в неподходящи ръце, е по-лесно за тях да компрометират акаунта ви. проникване в корпоративни мрежи или прихващане на чувствителни разговори, нещо особено чувствително в работната среда в Испания и останалата част от Европа.
AMOS не се ограничава само до онлайн акаунти. Той активно търси. документи с често срещани разширения като TXT, PDF и DOCX в папки като „Работен плот“, „Документи“ и „Изтегляния“, както и съдържание, съхранявано в приложението „Бележки“ на macOS. Тези файлове често съдържат договори, работни отчети, лични бележки с чувствителни номера или вътрешна фирмена информация.
Друг ключов аспект на тази кампания е опитът да се локализират портфейли с криптовалута като Electrum, Coinomi или ExodusЦелта е да се получат необходимите данни за достъп до средствата и да се преместят в портфейли, контролирани от нападателите, което добавя пряк финансов риск за потребителите, които управляват крипто активи от своя Mac.
Всички тези данни са измъкват се до сървъри под контрола на престъпнициОттам те могат да бъдат продавани в подземни форуми, използвани повторно в нови целенасочени атаки или използвани като основа за персонализирано изнудване. В много случаи жертвата не осъзнава какво се е случило, докато не открие необичаен достъп до акаунтите си или подозрителна активност в онлайн услугите си.
ClickFix: когато потребителят сам отвори вратата за зловреден софтуер
Освен специфичните възможности на AMOS, един от аспектите, които най-много тревожат изследователите, е как нападателите подвеждат потребителя да извърши критичната стъпка. Кампанията разчита на техника, известна като Щракнете върху Поправи, при която техническата уязвимост не се използва толкова, колкото доверието на потребителите в процеса, който следват.
В този сценарий, командата Terminal, която се появява във фалшивото ръководство за ChatGPT за Mac, е причината за проблема. Това не е сложен експлойт, а команда, която жертвата въвежда доброволно, убедена, че е част от... напреднала, но легитимна конфигурация препоръчано от добре позната услуга.
Според анализа на Kaspersky, комбинацията от привидно надеждна платена реклама в Google, Страницата, която доста точно копира формата на истински ChatGPT разговор И една-единствена команда, представена като рутина, създава перфектния сценарий за отслабване на защитата. Тези, които посещават този уебсайт, обикновено търсят бързо решение и когато всичко отговаря на очакванията им, е по-малко вероятно да спрат и да се замислят какво всъщност правят.
Едуардо Чаваро, директор на екипа за реагиране при инциденти на Kaspersky за Северна и Южна Америка, подчертава, че Успехът на атаката се крие във факта, че всички елементи са познати на средностатистическия потребител.Спонсорирани реклами, изчистен дизайн и команда в терминала, с която мнозина вече са запознати от други ръководства. Тази комбинация от фактори кара хората да се доверяват на съдържанието и да следват стъпките без твърде много въпроси.
Този подход илюстрира степента, до която Социалното инженерство се е превърнало в ключов елемент в много от съвременните заплахи.Вместо да насилват жертвата чрез нарушаване на сигурността на macOS, нападателите подвеждат жертвата да отвори вратата, да ѝ предаде паролата си и да ѝ позволи да внедри зловреден софтуер с всички необходими разрешения.
Постоянна задна вратичка и дистанционно управление на Mac
Инсталирането на AMOS не е последното звено във веригата. Успоредно с това, кампанията поставя задната вратичка е конфигурирана да се стартира автоматично всеки път, когато Mac се рестартира. Тази задна вратичка възпроизвежда голяма част от логиката за събиране на данни на инфостейлър-а, но основната ѝ стойност е гарантирането на стабилен и дълготраен отдалечен достъп.
С тази активна задна вратичка, киберпрестъпниците могат свързвайте се периодично с ангажирания екипстартират нови злонамерени полезни товари, актуализират самия зловреден софтуер или използват Mac като плацдарм за движение в рамките на домашна или корпоративна мрежаОт гледна точка на нападателя, заразеното устройство се превръща в полезен дългосрочен ресурс.
За потребителя проблемът е, че Инфекцията може да продължи дълго време без видими признаци.Компютърът продължава да функционира сравнително добре, без странни съобщения или постоянни грешки, докато на заден план има непрекъснато изтичане на информация, което засяга както личния живот, така и работната среда.
В контексти като Испания и Европа, където е обичайно един и същ Mac да се използва както за лични нужди, така и за работа, подобно проникване може... да застраши вътрешни фирмени документи, комуникации с клиенти или данни, предмет на разпоредбите за защитаЗа целите на съответствието, изтичане на информация от такъв мащаб може да има и правни и репутационни последици за засегнатите организации.
Ако подозирате, че сте следвали съмнително ръководство или сте изпълнили заповед с неясен произход, експертите препоръчват Прегледайте подробно елементите, които се зареждат при стартиране на систематаАнализирайте процесите, които се свързват с интернет без ясна причина, и стартирайте устройството чрез актуализирани решения за сигурност. В сложни случаи може да е необходима професионална помощ за откриване на постоянни компоненти, като например описаната задна врата.
Крадците на информация и изкуственият интелект като примамка: бум на тенденция
Епизодът с фалшивото ръководство за ChatGPT за Mac се вписва в по-широка тенденция, която се засили през 2025 г.Възходът на крадците на информация като една от най-активните заплахи в дигиталния пейзаж. В Европа, където използването на онлайн услуги, електронно банкиране и криптовалути е широко разпространено, кражбата на информация се е превърнала в бърз път за печалба за престъпните групи.
В същото време, възходът на изкуствения интелект превърна генеративните платформи с изкуствен интелект в много привлекателна примамка за кампании със зловреден софтуерИзследователи са открили фалшиви странични ленти с изкуствен интелект за браузъри, настолни приложения, които твърдят, че са официални клиенти на популярни модели, и разширения, които твърдят, че подобряват възможностите на тези услуги, но всъщност съдържат злонамерен код.
Операция „ChatGPT Atlas“ допълва този модел, като се възползва от легитимни функции, като например споделяне на съдържание в услуги с изкуствен интелект и реклами в търсачкиЧрез комбиниране на добре познати лога, изпипани интерфейси и добре написани технически текстове, нападателите правят примамката си да изглежда правдоподобна за голям брой потребители.
От техническа гледна точка, много от тези кампании не разчитат на изключително напреднали уязвимости. Разликата се състои в контекстът, в който е представен капанътПотребителят пристига набързо, намира точно вида решение, което търси, и вижда привидно ясно и професионално ръководство. В този случай е по-вероятно да следва инструкциите, без да им задава твърде много въпроси.
Както обобщават експертите на Kaspersky, Истинската изтънченост се крие повече в опаковката, отколкото в кода.Реклама, която преминава филтрите на рекламните платформи, страница, имитираща стила на ChatGPT, и една-единствена команда в Terminal са достатъчни за много хора да намалят гарда си и неволно да предадат ключовете на компютъра си.
Практически съвети за потребители на Mac в Испания и Европа
Изправени пред подобни сценарии, специалистите по киберсигурност наблягат на поредица от много специфични насоки за потребителите на Mac в Испания и останалата част от Европа. Първото е Поддържайте критично отношение към всяко ръководство, което ви моли да отворите Терминал или PowerShell. и изпълнява команди, чието действие не е напълно разбрано.
Ако предполагаемо ръководство за инсталиране на ChatGPT – или за който и да е друг инструмент с изкуствен интелект – включва типичната стъпка на „копирайте и поставете тази команда точно както е“ без ясни обясненияПрепоръчително е това да се приеме като предупредителен знак. Когато има съмнения относно произхода на съдържанието или какво ще направи поръчката, най-мъдрият начин на действие е Затворете страницата или изтрийте съобщението, преди да продължите.
Друга разумна препоръка е да поискате такъв второ мнение преди изпълнение на неизвестни инструкцииТова може да бъде доверено лице с повече опит, екипът за поддръжка на компанията или инструменти за сигурност, способни да анализират подозрителни команди и файлове. Ако не можете да проверите с минимално ниво на сигурност какво прави дадена инструкция, най-логичният начин на действие е да не я изпълнявате.
В света на бизнеса става все по-важно да се укрепи основно обучение по киберсигурност за служителитеНе всичко, свързано с термини като „официален“, „AI“ или „ChatGPT“, е непременно легитимно. В контекста на дистанционна работа и достъп до корпоративни ресурси, следването на фалшиво ръководство може да отвори врата не само към лични данни, но и към вътрешна организационна информация.
Накрая, Касперски и други експерти препоръчват инсталирането и поддържането на актуална версия на Надежден софтуер за сигурност, също и на macOSВъпреки че системата на Apple включва няколко слоя защита, наличието на допълнителни решения, които откриват крадци на информация като AMOS, блокират подозрителни връзки и предупреждават за аномално поведение, значително намалява риска от успех на подобна кампания.
Всичко, което се случи с Фалшиво ръководство за ChatGPT, което инсталира зловреден софтуер на Mac Това показва до каква степен комбинацията от добре познати марки, реклами в търсачките и добре представени уроци се е превърнала във високоефективен инструмент за компрометиране на системи и извличане на ценна информация; във време, когато изкуственият интелект е интегриран в ежедневието на милиони хора, отделянето на момент, за да се внимава с инструкции, които не се разбират, обръщането към официални източници и засилването на основните мерки за защита вече е съществена част от дигиталната сигурност.
