2022年6月至2023年5月期间,超过101100个被盗的OpenAI ChatGPT帐户凭证在非法暗网市场中被发现,仅印度就有12632个被盗的凭证。
Group-IB公司在一份报告中表示,这些凭证是在地下网络犯罪出售的信息窃取日志中发现的。
这家总部位于新加坡的公司表示:“包含被盗取ChatGPT帐户的可用日志数量在2023年5月达到26802个的峰值。”“在过去的一年里,亚太地区经历了最集中的ChatGPT凭证被提供出售的情况。”
ChatGPT凭证被盗数量最多的其他国家包括巴基斯坦、巴西、越南、埃及、美国、法国、摩洛哥、印度尼西亚和孟加拉国。
进一步的分析显示,大多数包含ChatGPT账户的日志被臭名昭著的Raccoon信息窃取工具盗取(78348),其次是Vidar(12984)和RedLine(6773)。
信息窃取工具因其能够从浏览器和加密货币钱包扩展劫持密码、cookie、信用卡和其他信息而受到网络犯罪分子的欢迎。
Group-IB表示:“包含信息窃取工具收集的被盗信息的日志在暗网市场上活跃交易。”
“有关此类市场上可用日志的其他信息包括日志中找到的域名列表以及有关受感染主机的IP地址的信息。”
它们通常基于订阅定价模式提供,不仅降低了网络犯罪的门槛,而且还成为使用被盗凭证发起后续攻击的渠道。
Group-IB威胁情报主管Dmitry Shestakov表示:“许多企业正在将ChatGPT集成到他们的运营流程中。”
“员工输入机密信件或使用机器人优化专有代码。鉴于ChatGPT的标准配置保留了所有对话,如果威胁行为者获得账户凭证,这可能会无意中为他们提供敏感情报的宝库。“
为了减轻此类风险,建议用户遵循适当的密码要求习惯,并使用双因素身份验证(2FA)保护其帐户,以防止帐户被接管攻击。
这一发展是在一个正在进行的恶意软件活动中出现的,该活动利用假的OnlyFans网页和成人内容的诱惑来提供一个远程访问木马和一个名为DCRat(或DarkCrystal RAT)的信息窃取器,这是AsyncRAT的一个修改版本。
eSentire公司研究人员表示:“在观察到的情况下,受害者被引诱下载包含手动执行的VBScript加载程序的ZIP文件。”并指出该活动自2023年1月以来一直在进行。
“文件命名惯例表明,受害者是被利用各种成人电影女演员的露骨照片或OnlyFans内容被引诱的。”
这也是在发现一种名为GuLoader(又名CloudEyE)的恶意软件的新VBScript变体之后,它采用了以税收为主题的诱饵来启动PowerShell脚本,能够检索并将Remcos RAT注入合法的Windows进程中。
这家加拿大网络安全公司在本月早些时候发布的一份报告中表示:“GuLoader是一种高度规避的恶意软件加载程序,通常用于提供信息窃取者和远程管理工具(RAT)。”
“GuLoader利用用户启动的脚本或快捷方式文件来执行多轮高度混淆的命令和加密的shellcode。其结果是一个内存驻留的恶意软件有效载荷在一个合法的Windows进程内运行。”
OpenAI在一份声明中称:“Group-IB的威胁情报报告的调查结果是人们在设备上被种植恶意软件的结果,而不是OpenAI的数据泄露行为。”
“我们目前正在调查已泄露的帐户。OpenAI维护了对用户进行身份验证和授权使用包括ChatGPT在内的服务的行业最佳实践,我们鼓励用户使用强密码并仅在个人计算机上安装经过验证和可信的软件。”