ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบแคมเปญหลอกลวงผ่านเว็บไซต์ปลอมที่แอบอ้างเป็นหน้าดาวน์โหลด ChatGPT ของ OpenAI โดยใช้โดเมน openew[.]app เพื่อหลอกให้ผู้ใช้งานดาวน์โหลดไฟล์ติดตั้งปลอมสำหรับ Windows และ macOS หากผู้ใช้งานติดตั้งไฟล์ดังกล่าว อุปกรณ์อาจติดมัลแวร์ที่สามารถข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลเบราว์เซอร์ cookies session ข้อมูลกระเป๋าเงินคริปโทเคอร์เรนซี และข้อมูลอื่น ๆ ได้ [1]
1. รายละเอียดภัยคุกคาม
ผู้ไม่ประสงค์ดีได้สร้างเว็บไซต์ปลอมโดยใช้โดเมน openew[.]app ซึ่งมีการออกแบบหน้าตาและปุ่มดาวน์โหลดให้คล้ายคลึงกับหน้าเว็บไซต์ทางการของ OpenAI นอกจากนี้ยังมีการใช้โปรโตคอลความปลอดภัย (HTTPS) เพื่อให้เบราว์เซอร์แสดงสัญลักษณ์รูปแม่กุญแจ แต่ความจริงแล้วเว็บไซต์ดังกล่าวเป็นเว็บไซต์ที่ไม่ปลอดภัย เป้าหมายของแคมเปญนี้คือการใช้ความนิยมของ ChatGPT และพฤติกรรมผู้ใช้งานที่ค้นหาคำว่า “ChatGPT download” ผ่าน search engine โฆษณา หรือแหล่งที่ไม่เป็นทางการ เพื่อหลอกให้ดาวน์โหลดมัลแวร์
2. ลักษณะการโจมตี
2.1 การโจมตีบนระบบปฏิบัติการ Windows มัลแวร์จะแฝงมาในรูปแบบไฟล์ติดตั้ง (Chat_GPT.exe) เมื่อถูกเรียกใช้งาน มัลแวร์จะสร้างไฟล์และเปิดใช้งานโปรแกรมจัดการคำสั่ง (PowerShell) เพื่อประมวลผลคำสั่งอันตรายโดยตรงผ่านช่องทางป้อนข้อมูลมาตรฐาน (Standard Input) เทคนิคนี้ช่วยให้มัลแวร์สามารถหลบเลี่ยงระบบตรวจจับความปลอดภัย (Evasion Technique) ได้ดีขึ้น เนื่องจากไม่มีการบันทึกไฟล์คำสั่งลงบนหน่วยความจำหรือฮาร์ดดิสก์โดยตรง
2.2 การโจมตีบนระบบปฏิบัติการ macOS ผู้ใช้งานจะได้รับไฟล์ดิสก์อิมเมจ (ChatGpt.dmg) ซึ่งภายในบรรจุมัลแวร์ขโมยข้อมูลสายพันธุ์ Odyssey Stealer (พัฒนาต่อยอดจากมัลแวร์ Atomic Stealer หรือ AMOS) โดยมัลแวร์ตัวนี้จะแสดงหน้าต่างแจ้งเตือนปลอม (Fake Prompt) เพื่อหลอกให้เหยื่อกรอกรหัสผ่านของระบบ จากนั้นจะนำไปใช้เข้าถึงระบบจัดการรหัสผ่าน (Keychain) คุกกี้ (Cookies) ข้อมูลการเข้าสู่ระบบที่บันทึกไว้ (Saved Logins) รวมถึงข้อมูลจากเว็บเบราว์เซอร์ และแอปพลิเคชันสนทนา นอกจากนี้ มัลแวร์ยังพุ่งเป้าไปที่การสแกนหาและสับเปลี่ยนแอปพลิเคชันกระเป๋าเงินคริปโทเคอร์เรนซีด้วยแอปพลิเคชันที่ถูกดัดแปลงฝังมัลแวร์ (Trojanized Application) เพื่อโอนย้ายสินทรัพย์ดิจิทัลของเหยื่ออีกด้วย
3. แนวทางการป้องกัน
3.1 ดาวน์โหลด ChatGPT จากเว็บไซต์ทางการของ OpenAI เท่านั้น ได้แก่ https://openai.com/chatgpt/desktop/ หรือ https://openai.com/chatgpt/download/
3.2 หลีกเลี่ยงการดาวน์โหลด ChatGPT จากโฆษณา search engine เว็บไซต์ mirror ลิงก์ใน social media ลิงก์ใน Discord Telegram หรือเว็บไซต์ที่มีชื่อโดเมนใกล้เคียงกับของจริง
3.3 ตรวจสอบ URL ให้ถูกต้องก่อนดาวน์โหลดทุกครั้ง โดยสัญลักษณ์กุญแจ HTTPS ไม่ได้ยืนยันว่าเว็บไซต์เป็นของผู้ให้บริการตัวจริง
3.4 ผู้ดูแลระบบควรบล็อกโดเมนและ IP address ที่เกี่ยวข้องกับแคมเปญนี้บน DNS filtering, proxy, firewall, EDR หรือระบบ secure web gateway
4. Indicators of Compromise (IOCs)
4.1 Domain
– openew[.]app
4.2 IP Address
– 188[.]137[.]246[.]189
– 192[.]253[.]248[.]181
– 172[.]94[.]9[.]250
4.3 File Name
– Chat_GPT.exe
– ChatGpt.dmg
4.4 SHA-256
– c9e0e6985dca3a179c9bdea4e7b38f7dc57fe00ecedc2fd634256fc53bf2de2d
– c0919e1999eaee67e67aeda0287722775afb04e9a9a0f727928b4d11265fb70b
แหล่งอ้างอิง