資料盜竊工具通常從電腦盜竊密碼、cookie、文件或其他有價值資料,已經成為2025年增長最快速的網絡威脅,攻擊者更用上AI工具,把受害者引導至訛稱含安裝OpenAI為macOS開發的新型Atlas瀏覽器的用戶指南。
誘餌連結出現在搜尋結果
為了吸引受害者,攻擊者在Google上付費賣廣告,如果搜尋「chatgpt atlas」,最前的廣告連結可能是個網站,完整網址在廣告中無法看見,但明顯位於chatgpt.com網域之下。網頁的標題也是「ChatGPT Atlas for macOS – Download ChatGPT Atlas for Mac」,如果用戶想下載新瀏覽器很大機會點擊連結。
陷阱
點擊廣告會把開chatgpt.com,受害者會看見安裝「Atlas瀏覽器」的簡介,謹慎的用戶可以卜即發現這只是某匿名訪客與ChatGPT的對話,作者使用分享功能令它變成公開,分享對話的連結以chatgpt.com/share/開始,事實上在對話的最上方列明是匿名者與ChatGPT之間的對話副本。然而大意或對AI認識較淺的用戶可能會信以為真,尤其它的格式整齊,而且發佈在一個看似可靠的網站。
攻擊者濫用其他服務藉此利用她們的域名來散播內容並非新技術,Dropbox、Google Docs、GitHub和GitLab、Google Forms都曾經是受害者,現在AI助手也被利用,連結會把受害者帶到聊天機器人的官方網站,值得注意的是,攻擊者利用提示工程讓ChatGPT產生他們需要的指南,並清除較早前的對話以避免被懷疑。
感染
想安裝「Atlas瀏覽器」的話,用戶被指示從聊天中複製一條編碼,在自己的Mac上執行會被要求權限,這特定的指令會從可疑伺服器atlas-extension[.]com下載惡意腳本,並立即在電腦上執行,這是ClickFix攻擊的種類,其實是要用戶自行手動執行指令從外來資源去下載和執行編碼,由於看起來不像傳統的打開文件方法,所以較容易讓人掉入陷阱。執行後腳本要求用戶提供系統密碼,並檢查能否執行系統指令,如果輸入不正確會一直重複提示,如果用戶輸入正確密碼,腳本便下載惡意程式和使用用戶提供的憑證去安裝和啟動。
資料盜竊工具和後門程式
如果用戶掉入陷阱,資料盜竊工具AMOS(Atomic macOS Stealer)將會在他們的電腦上敋動,它能收集大量有潛在價值的資料,包括密碼、cookie和其他來自Chrome、Firefox及其他瀏覽器中的資料,加密貨幣錢包Electrum、Coinomi和Exodus,應用程式的資料例如Telgram桌面版、OpenVPN連線對等,而且還會盜竊桌面電腦副檔名TXT、PDF和DOCX的檔案,還有文件和下載的資料夾,然後把所有獲得資料發送至攻擊者的伺服器。盜竊工具還會安裝後門程式,把它設定為系統重開後自動啟動,後門程式基本上複製了AMOS的功能,同時讓攻擊者能夠遙距控制受害者的電腦。
防範AMOS和其他AI聊天中的惡意程式
這次新AI工具讓攻擊者把舊技倆重新包裝並瞄準對新技術感興趣的用戶,避免成為下個受害者,我們建議:
- 在智能電話、平板和電腦使用可靠的防毒保護。
- 如任何網站、即時通訊、文件或聊天要求執行指令,不要遵循指示,因為很大機會是ClickFix攻擊,攻擊者經常訛稱是修復電腦上的問題、解除電腦病毒、證明他們不是機器或更新瀏覽器或OS等等。
- 永遠不要跟隨沒有要求或沒有完全明白的任何指南。
- 最簡單直接立即關閉視窗或刪除含指南的訊息,如果有猶豫的話應該向具備相關知識的人查詢,另一個選項是把指令敗到AI聊天上,要求解釋編碼的作用和是否有危險性。
資料來源:Kaspersky Blog
