Über 101.100 kompromittierte OpenAI ChatGPT-Kontozugangsdaten haben ihren Weg auf illegale Darknet-Marktplätze zwischen Juni 2022 und Mai 2023 gefunden, wobei allein Indien für 12.632 gestohlene Zugangsdaten verantwortlich ist.
Die Zugangsdaten wurden in Protokollen von Informationendieben entdeckt, die zum Verkauf auf dem Cybercrime-Untergrund angeboten wurden, berichtete Group-IB in einem Bericht, der The Hacker News zur Verfügung gestellt wurde.
"Die Anzahl der verfügbaren Protokolle mit kompromittierten ChatGPT-Konten erreichte im Mai 2023 einen Höchststand von 26.802", sagte das in Singapur ansässige Unternehmen. "Die Region Asien-Pazifik hat im vergangenen Jahr die höchste Konzentration von ChatGPT-Zugangsdaten erlebt, die zum Verkauf angeboten wurden."
Andere Länder mit der höchsten Anzahl an kompromittierten ChatGPT-Zugangsdaten sind Pakistan, Brasilien, Vietnam, Ägypten, die USA, Frankreich, Marokko, Indonesien und Bangladesch.
Eine weitere Analyse hat ergeben, dass die Mehrheit der Protokolle mit ChatGPT-Konten von dem berüchtigten Informationendieb Raccoon (78.348) kompromittiert wurde, gefolgt von Vidar (12.984) und RedLine (6.773).
Cybersicherheit Informationendiebe sind bei Cyberkriminellen beliebt geworden, da sie in der Lage sind, Passwörter, Cookies, Kreditkarten und andere Informationen von Browsern und Kryptowährungsbrieftaschen-Erweiterungen zu kapern.
"Protokolle mit kompromittierten Informationen, die von Informationendieben gesammelt wurden, werden aktiv auf Darknet-Marktplätzen gehandelt", sagte Group-IB.
"Zusätzliche Informationen über auf solchen Märkten verfügbare Protokolle umfassen die Listen der in dem Protokoll gefundenen Domains sowie Informationen über die IP-Adresse des kompromittierten Hosts."
Typischerweise basieren sie auf einem abonnementbasierten Preismodell, sie haben nicht nur die Schwelle für Cyberkriminalität gesenkt, sondern dienen auch als Kanal für die Durchführung von Folgeangriffen mit den abgezapften Zugangsdaten.
"Viele Unternehmen integrieren ChatGPT in ihren Betriebsablauf", sagte Dmitry Shestakov, Leiter der Threat Intelligence bei Group-IB.
ChatGPT "Mitarbeiter geben vertrauliche Korrespondenzen ein oder nutzen den Bot, um proprietären Code zu optimieren. Da die Standardkonfiguration von ChatGPT alle Gespräche speichert, könnte dies unbeabsichtigt eine Fülle von sensiblen Informationen für Bedrohungsakteure bereitstellen, wenn sie Kontozugangsdaten erhalten."
Um solche Risiken zu mindern, wird empfohlen, dass Benutzer geeignete Passworthygienepraktiken befolgen und ihre Konten mit Zwei-Faktor-Authentifizierung (2FA) sichern, um Kontenübernahmeangriffe zu verhindern.
Die Entwicklung findet vor dem Hintergrund einer laufenden Malware-Kampagne statt, die gefälschte OnlyFans-Seiten und Lockmittel für Erwachseneninhalte nutzt, um einen Remote Access Trojaner und einen Informationendieb namens DCRat (oder DarkCrystal RAT), eine modifizierte Version von AsyncRAT, zu liefern.
Cybersicherheit "In den beobachteten Fällen wurden die Opfer dazu verleitet, ZIP-Dateien herunterzuladen, die einen VBScript-Loader enthalten, der manuell ausgeführt wird", sagten die Forscher von eSentire und stellten fest, dass die Aktivität seit Januar 2023 im Gange ist.
"Die Dateinamenkonvention legt nahe, dass die Opfer mit expliziten Fotos oder OnlyFans-Inhalten für verschiedene erwachsene Filmstars gelockt wurden."
Es folgt auch die Entdeckung einer neuen VBScript-Variante einer Malware namens GuLoader (aka CloudEyE), die steuerthematische Köder verwendet, um PowerShell-Skripte auszuführen, die in der Lage sind, Remcos RAT zu holen und in einen legitimen Windows-Prozess zu injizieren.
"GuLoader ist ein sehr ausweichender Malware-Loader, der häufig verwendet wird, um Informationendiebe und Remote Administration Tools (RATs) zu liefern", sagte das kanadische Cybersicherheitsunternehmen in einem Bericht, der Anfang dieses Monats veröffentlicht wurde.
"GuLoader nutzt benutzergesteuerte Skripte oder Verknüpfungsdateien, um mehrere Runden von stark verschleierten Befehlen und verschlüsseltem Shellcode auszuführen. Das Ergebnis ist eine im Speicher residente Malware-Last, die innerhalb eines legitimen Windows-Prozesses arbeitet."
