Mais de 100.000 credenciais de contas comprometidas do OpenAI ChatGPT chegaram aos mercados ilícitos da dark web entre junho de 2022 e maio de 2023, com a Índia sendo responsável por 12.632 credenciais roubadas.
As credenciais foram descobertas dentro de logs de roubo de informações disponíveis para venda no submundo do cibercrime, segundo um relatório da Group-IB compartilhado com o The Hacker News.
"A quantidade de logs disponíveis contendo contas ChatGPT comprometidas atingiu o pico de 26.802 em maio de 2023", disse a empresa sediada em Cingapura.
"A região da Ásia-Pacífico experimentou a maior concentração de credenciais ChatGPT sendo oferecidas à venda ao longo do último ano".
]Outros países com o maior número de credenciais ChatGPT comprometidas incluem Paquistão, Brasil, Vietnã, Egito, EUA, França, Marrocos, Indonésia e Bangladesh.
Uma análise adicional revelou que a maioria dos logs contendo contas ChatGPT foi violada pelo notório Raccoon info stealer, seguido por Vidar e RedLine.
Os roubos de informações se tornaram populares entre os cibercriminosos por sua capacidade de sequestrar senhas, cookies, cartões de crédito e outras informações de navegadores e extensões de carteira de criptomoedas.
"Logs contendo informações comprometidas coletadas pelos info stealers são negociados ativamente em mercados da dark web", disse a Group-IB.
"Informações adicionais sobre logs disponíveis nesses mercados incluem listas de domínios encontrados no log, bem como informações sobre o endereço IP do host comprometido".
Geralmente oferecidos com base em um modelo de preços baseado em assinatura, eles não apenas diminuíram a barreira para o cibercrime, mas também servem como um canal para lançar ataques subsequentes usando as credenciais sifonadas.
"Muitas empresas estão integrando o ChatGPT em seu fluxo operacional", disse Dmitry Shestakov, chefe de inteligência de ameaças da Group-IB.
"Os funcionários entram em correspondências classificadas ou usam o bot para otimizar código proprietário.
Dado que a configuração padrão do ChatGPT retém todas as conversas, isso poderia inadvertidamente oferecer um tesouro de inteligência sensível para atores de ameaças se eles obtiverem credenciais de conta".
Para mitigar esses riscos, é recomendado que os usuários sigam práticas apropriadas de higiene de senha e protejam suas contas com autenticação de dois fatores (2FA) para evitar ataques de takeover de conta.
O desenvolvimento ocorre em meio a uma campanha de malware em andamento que está usando páginas falsas do OnlyFans e iscas de conteúdo adulto para fornecer um trojan de acesso remoto e um roubador de informações chamado DCRat (ou DarkCrystal RAT), uma versão modificada do AsyncRAT.
"Em casos observados, as vítimas foram atraídas para baixar arquivos ZIP contendo um carregador VBScript que é executado manualmente", disseram pesquisadores da eSentire, observando que a atividade está em andamento desde janeiro de 2023.
"A convenção de nomenclatura de arquivos sugere que as vítimas foram atraídas usando fotos explícitas ou conteúdo OnlyFans para várias atrizes de filmes adultos".
Também segue a descoberta de uma nova variante VBScript de um malware chamado GuLoader (também conhecido como CloudEyE) que emprega disfarces temáticos de impostos para lançar scripts PowerShell capazes de recuperar e injetar o Remcos RAT em um processo legítimo do Windows.
"GuLoader é um carregador de malware altamente evasivo comumente usado para entregar roubadores de informações e ferramentas de administração remota (RATs)", disse a empresa canadense de cibersegurança em um relatório publicado no início deste mês.
"GuLoader usa scripts iniciados pelo usuário ou arquivos de atalho para executar várias rodadas de comandos altamente obfuscados e shellcode criptografado.
O resultado é um payload de malware residente na memória operando dentro de um processo do Windows legítimo".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...