Home » Обнаружение фишинга ChatGPT в социальных сетях с помощью DNS Intelligence

Обнаружение фишинга ChatGPT в социальных сетях с помощью DNS Intelligence

by

С момента запуска в ноябре прошлого года ажиотаж вокруг ChatGPT только усилился не только среди пользователей, но и среди злоумышленников. Исследователи Cyble недавно обнаружили фишинговые атаки с использованием предполагаемых сайтов ChatGPT для получения личной информации (PII), в частности данных кредитной карты.

Исследование Cyble определило четыре домена как индикаторы компрометации (IoC) — openai-pc-pro[.]онлайн, чат-gpt-pc[.]онлайн, чатgpt-go[.]онлайн и ребрендинг[.]ly, которые мы использовали в качестве отправной точки для анализа расширения, который привел к открытию:

Пять IP-адресов, на которые разрешены IoC

  • 303 домена, которые совместно использовали IP-хосты IoC, один из которых оказался вредоносным
  • 1142 домена, начинающиеся со строк опенай., чатгпт.и ребрендинг. аналогично двум IoC, 11 из которых были подтвержденными хостами вредоносного ПО.
  • 2693 субдомена, которые содержали строку чатпять из которых, возможно, уже фигурировали в вредоносных кампаниях.

Образец дополнительных артефактов, полученных в результате нашего анализа, доступен для загрузки с нашего веб-сайта.

WHOIS-подключения

Мы начали наш анализ с массового поиска IoC в WHOIS, который показал, что три из них были недавно зарегистрированы — openai-pc-pro.[.]онлайн, чат-gpt-pc[.]онлайн и чатgpt-go[.]онлайн, при ребрендинге[.]Ли было уже девять лет. Похоже, что ни один из них не принадлежит компаниям, чьи имена фигурировали в них в виде строк на основе сравнения записей WHOIS с законными доменами openai.[.]ком и ребрендинг[.]ком. Конкретно:

Домены openai-pc-pro[.]онлайн, чат-gpt-pc[.]онлайн и чатgpt-go[.]онлайн не поделился openai[.]com, регистратор Gandi SAS и страна регистрации Франция.

Openai-pc-pro[.]онлайн и чат-gpt-pc[.]регистратором онлайн была Namecheap, Inc., а регистратором chatgpt-go[.]онлайн была PDR Ltd.

Кроме того, openai-pc-pro[.]онлайн и чат-gpt-pc[.]страной регистрации онлайн была Исландия, а страной регистрации chatgpt-go[.]онлайн была Румыния.

DNS-связи

Чтобы найти другие соединения, которые не были опубликованы, мы выполнили поиск DNS для IoC, который дал нам пять разрешений IP-адресов, три из которых 69.[.]12[.]73[.]19, 104[.]21[.]21[.]135 и 172[.]67[.]199[.]21. Геолокация IP и обратный поиск IP/DNS для IP-хостов показали, что:

  • Четыре из них прибыли из США, а один — из Вьетнама.
  • Один IP-адрес не имел подключения к домену.
  • Два были хостами с общим IP-адресом, а два других оказались частными хостами.
  • На четырех IP-адресах с существующими DNS-подключениями размещено 303 домена, один из которых — denizyilbasiozel-taycan4s.[.]com — оказался вредоносным.
Read more:  Француз Пено забил дважды в победном матче чемпионата мира по регби над Австралией | Регби-юнион

В IoC появились три торговых марки — OpenAI, ChatGPT и Rebrand. Чтобы определить, начинается ли больше доменов с опенай., чатгпт.и ребрендинг. и содержать чат, мы использовали их в качестве условий поиска для поиска доменов и поддоменов. Это привело к открытию:

  • 1142 домена, начинающиеся с опенай., чатгпт.и ребрендинг.11 из которых оказались вредоносными
  • 2693 субдомена, которые содержали чатпять из которых были подтвержденными носителями вредоносного ПО.

Другие выводы

Дополнительные сравнения записей WHOIS для доменов и поддоменов, связанных строкой, дали интересные результаты, такие как:

  • Только три из 372 доменов, начинающихся с опенай. общий регистратор OpenAI и страна регистрации. Однако мы не могли точно подтвердить их право собственности, так как openai[.]Запись WHOIS com была отредактирована.
  • Только один из 184 доменов, начинающихся с ребрендинг. принадлежал Rebrand на основании адреса электронной почты регистранта.
  • Ни один из 589 доменов, начинающихся с чатгпт. общий регистратор OpenAI и страна регистрации. Три домена, начинающиеся с опенай. общий регистратор OpenAI и страна регистрации, в то время как только один домен начинается с ребрендинг. казалось, принадлежал Ребранду.

  • Среди доменов, содержащих строки, найденные среди IoC (т.е. опенай., ребрендинг.и чатгпт.), только чатгпт. появилось в них.
  • Мы также рассмотрели поддомены, которые содержали чат поскольку строка появилась только как поддомен законного домена, принадлежащего OpenAI. Ни один из 2693 поддоменов, содержащих чат казалось, что они принадлежат компании после тщательного изучения их записей WHOIS.

Популярность в Интернете — палка о двух концах, как показали фишинговые кампании на тему ChatGPT. В то время как все больше и больше пользователей узнают об этой технологии и ее преимуществах, все большее число фишеров и других киберпреступников вынуждены использовать ее имя в своих кампаниях.

Read more:  В США ЦБ решается на десятое повышение ставки на фоне очередного банковского разгрома

Если вы хотите провести подобное расследование или получить доступ к полным данным этого исследования, пожалуйста, не стесняйтесь обращаться к нам.

Как сократить счет за продукты и избежать похода в супермаркет

by nachedeu

Вы наполовину ожидаете, что Киллиан Мерфи войдет и начнет стрелять в это место – The Irish Times

by nachedeu

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.