Fake ChatGPT desktop client steals Chrome login data
2023/05/02 HelpNetSecurity — ChatGPT Windows デスクトップ・クライアントを模倣したマルウェアにより、Google Chrome のログインデータ・フォルダに保存された認証情報をコピーしていく情報窃盗犯について、研究者たちが警告を発している。ChatGPT は公式のデスクトップ・クライアントをリリースしていないが、この偽バージョンは、ユーザーが期待するものを作り込んでいるという。
この情報窃盗犯は、ChatGPT For Windows Setup 1.0.0.exe という名前のファイルを含む、ZIP アーカイブを介してマルウェアを配布している。
そのインストール・プロセス中において、マルウェアはバックグラウンドで実行される。その際に用いられるツールは Havelock であり、Chromium ベースの Web ブラウザから、アカウント/クッキー/履歴などのログイン・データの抽出し、復号化していく。
Trend Micro によると、このクライアントは、以下のドメインに接続するという。
http://api.telegram.org
http://facebook.com
http://lumtest.com (geoIP ロケーションのクエリ用)
http://graph.facebook.com (Facebook プラットフォームへのデータ入出力)
http://api.aiforopen.com
なお、不正に取得されたデータは、Telegram 経由で流出していくという。
偽 ChatGPT クライアントは、レジストリに AutoStart エントリを作成し、感染させたマシンが起動するたびに、情報窃取装置が起動されるようにする。また、コンソール・ウィンドウの隠蔽や、sqlite3 経由での Web セッション・クッキー抽出といった機能も備えている。また、多くの依存関係を持つことから、さらなる機能も実装されていると考えられる。
Chrome ユーザーが狙われる
現時点において、この攻撃者は、ChatGPT のデスクトップ/モバイル・アプリを期待するユーザーの欲求を利用して、さまざまな種類のマルウェアを配信している。
また、Trend Micro は、この不正なペイロードと、Facebook Business アカウント乗っ取りを目的とした、情報盗用ソフト DUCKTAIL マルウェアとの間に、類似点があることを発見した。
ユーザーに対して推奨されるのは、信頼できないソースや、未承認のソースから、アプリケーションをダウンロードしないことだ。ChatGPT は、公式のデスクトップ/モバイル・アプリを持っていないため、このような誘惑に対しては、慎重に扱う必要がある。
ChatGPT をめぐるセキュリティ論議が止まりませんが、その一方では、もっとダイレクトな詐欺行為が横行するという実態があります。その中でも、2023/04/20 の「ChatGPT に関連する悪意の URL:不正占拠ドメインが 17,818% 増加」は、これからの厄災を示唆するようで、暗澹たる気分になってしまいます。その他にも、以下のような記事があります。よろしければ、ChatGPT で検索も、ご利用ください。
2023/04/12:Facebook 上の ChatGPT 偽広告
2023/03/22:FB ハイジャック:悪意の ChatGPT エクステンション
2023/02/22:ChatGPT の偽アプリ/偽ドメインに御用心
IoT OT Security News 
You must be logged in to post a comment.