ChatGPT偽装サイトでマルウェア配布、悪性広告キャンペーンを確認

ChatGPT偽装サイトでマルウェア配布、悪性広告キャンペーンを確認

脅威行為者が検索連動型広告を利用し、ChatGPTを装った偽サイトへ利用者を誘導するキャンペーンが確認されている。本件では、OpenAI関連サービスを装ったドメイン「openew.app」が使用されていた。

分析によると、当該サイトではWindows、macOS、Chrome向けとして配布ファイルが提供されていた。攻撃者は複数のプラットフォームに対応した配布環境を構築し、幅広い利用者を対象としていた。

Windows環境では実行ファイル形式のインストーラーが提供され、macOS環境では別のペイロードが配布されていた。また、Chrome利用者向けにはブラウザ拡張機能を装ったファイルも確認されている。

研究者によると、関連インフラには複数の回避機能や配布用コンポーネントが組み込まれており、プラットフォームごとに異なる配布手法が利用されていたことが確認されている。

多段階配布とシステム情報収集機能を搭載

分析によると、本キャンペーンではCAPTCHA認証、難読化されたJavaScript、段階的なペイロード配信を組み合わせた構成が確認されている。これらの処理は、配布フローの各段階で実行される仕組みとなっている。

Windows向けの主要ペイロードにはElectronベースのアプリケーションが利用されていた。また、配布ファイルにはOpenAIとは異なる企業名義で署名されたコンポーネントが含まれていたことが確認されている。

攻撃チェーンではPowerShellプロセスを利用して追加モジュールや後続ペイロードを取得・実行する構成も確認された。研究者によると、複数段階の実行フローを通じて各種コンポーネントが展開される仕組みとなっていた。

さらに、マルウェアにはシステム情報収集機能が実装されており、端末情報、ファイルシステム情報、ネットワーク関連情報などを取得する機能が確認されている。

また、一部コンポーネントではNode.jsモジュールが利用されており、利用環境や端末構成に関する詳細な情報を収集する処理が含まれていたと報告されている。

悪性広告を利用したマルウェア配布事例として分析

今回のキャンペーンでは、検索広告、CAPTCHA認証、難読化されたJavaScript、多段階ペイロード配信など複数の技術が組み合わせて利用されていた。分析では、DNS通信や配布インフラを含む複数の要素が攻撃フローの一部として確認されている。

また、本件ではChatGPTを装った偽サイトを起点として、Windows、macOS、Chrome拡張機能向けのペイロードが配布されていた。研究者らは、関連ドメインや実行ファイル、ネットワーク通信の挙動について継続的な分析を行っている。

さらに、Electronアプリケーション、PowerShell、Node.jsモジュールなどを利用した多段階構成が確認されており、システム情報収集や追加コンポーネント展開機能が含まれていた。

今回の事例は、検索広告とブランド偽装を利用したマルウェア配布キャンペーンとして報告されている。