UNSPLASH/CHRISTIAN WIEDIGER - Arquivo
MADRI 11 dez. (Portaltic/EP) -
Uma nova campanha usou envenenamento de SEO para transformar uma pesquisa no Google sobre soluções técnicas para computadores macOS em um processo de distribuição de malware envolvendo conversas legítimas com ChatGPT e Grok.
Qualquer usuário de um computador macOS pode recorrer ao Google para encontrar uma maneira de corrigir problemas que surgem com seu uso, como liberar espaço em disco - algo aparentemente trivial que os criminosos cibernéticos exploraram em uma nova campanha maliciosa.
Especificamente, eles manipularam essa pesquisa e variações como "como excluir dados no iMac" ou "liberar armazenamento no Mac", para posicionar links para dois tutoriais gerados no ChatGPT e no Grok de forma muito proeminente na parte superior dos resultados.
Essa técnica é conhecida como SEO poisoning e consiste em colocar sites maliciosos, muitos dos quais simulam a aparência de sites e fóruns legítimos, em posições de destaque nos resultados de pesquisa do Google, que as vítimas acessam acreditando ter encontrado as informações de que precisam.
Nesse caso, dois links levam a conversas com chatbots populares. Como explicam os pesquisadores da Huntress, essas conversas são reais, realizadas com o ChatGPT e o Grok, e hospedadas nos servidores OpenAI e xAI, respectivamente.
Além de compartilhar instruções passo a passo sobre como liberar espaço no macOS, as vítimas encontram frases que reforçam um senso de legitimidade, como "delete com segurança", "não toque em seus dados pessoais" ou "não modifique as configurações do sistema".
O perigo está em seu conteúdo, em um comando que o tutorial pede para ser copiado e colado no Terminal e executado. Ao fazer isso, sem perceber, as vítimas estão facilitando a instalação silenciosa de malware que infecta o computador e permanece lá até ser removido.
Esse malware, conhecido como AMOS (Atomic macOS Stealer), é um ladrão de informações projetado para coletar credenciais de criptomoedas, logins de navegadores salvos, o chaveiro do macOS e coletar todos esses dados e enviá-los para servidores controlados por criminosos cibernéticos.
Com essa campanha de distribuição do AMOS, a empresa de segurança cibernética afirma que "os invasores não estão mais procurando superar o ceticismo do usuário; eles estão tirando vantagem direta da confiança do usuário".
O ataque requer apenas que as vítimas pesquisem, cliquem e copiem e colem um comando. "Toda a cadeia de infecção se parece com um comportamento normal e seguro. Os usuários não são descuidados. Eles não ignoram os avisos de segurança. Eles seguem instruções de uma plataforma de IA confiável, fornecida por meio de um mecanismo de pesquisa que usam todos os dias, para uma tarefa que legitimamente requer acesso ao Terminal", acrescentam.
Esta notícia foi traduzida por um tradutor automático