El innegable éxito y nivel de aceptación de ChatGPT lleva a los ciberdelincuentes a cometer acciones dañinas contra los usuarios de dicha aplicación. En concreto, el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha descubierto recientemente una campaña maliciosa que involucra al troyano PipeMagic. A partir de este malware se introduce malware adicional y se lanzan nuevos ataques por medio de la red corporativa.
Una aplicación falsa de ChatGPT actúa como el señuelo perfecto. En un principio, el troyano PipeMagic se enfocaba en entidades de Asia, pero ahora ha hecho extensible su aplicación a organizaciones de Arabia Saudí.
Las claves del ataque
Fue en septiembre de 2024 cuando el equipo GReAT de Kaspersky detectó el resurgimiento de PipeMagic, detectado por primera vez en 2022. Para engañar a sus víctimas, emplea una aplicación falsa de ChatGPT creada con lenguaje de programación Rust. Aunque pudiese parecer legítima, al contener bibliotecas comunes de Rust, la aplicación muestra una pantalla en blanco sin interfaz visible, a la par que oculta un arreglo de datos cifrados de 105,615 bytes, una carga útil altamente maliciosa.
A posteriori, el malware busca funciones clave de la API de Windows y llega a localizar los desplazamientos de memoria mediante un algoritmo de hash de nombres. A continuación, asigna esa memoria, carga la puerta trasera de PipeMagic y ajusta la configuración necesaria para poder ejecutar el malware.
PipeMagic es capaz de generar un arreglo aleatorio de 16 bytes para crear un pipe con nombre en el formato \\.\pipe\1.<cadena hexadecimal>. Una vez creado el hilo correspondiente, lee los datos para luego destruirlos.
PipeMagic se emplea para recibir cargas útiles codificadas y señales de parada por medio de la interfaz local predeterminada. Funciona con complementos descargados de un servidor de comando y control (C2). En el caso de este ataque específico, estaba alojado en Microsoft Azure.
Esta problemática se suma a otra que ya de por sí tiene ChatGPT de OpenAI en su versión oficial. Una queja de privacidad de la UE por generar información incorrecta por un fallo de alucinación. En otras palabras, un error interpretado de datos falsos que puede ocurrir a causa de entrenamientos sesgados, falta de contexto o limitaciones de los algoritmos.
Medidas de prevención
Los analistas de Kaspersky recomiendan una serie de consejos básicos:
- Precaución al descargar software de Internet. Desde páginas web de terceros. Se recomienda recurrir a la web oficial de la empresa o servicio utilizado.
- Proporcionar al equipo SOC acceso a la inteligencia de amenazas más reciente. En este sentido, Kaspersky Threat Intelligence es un punto de acceso único para la TI de la empresa, ofreciendo datos e información sobre ciberataques recolectados por Kaspersky a lo largo de más de 20 años.
- Mejorar las habilidades en materia de ciberseguridad. Con formación eficiente que permita enfrentarse a las últimas amenazas.
- Implementar soluciones EDR. Para la detección, investigación y remediación oportuna de incidentes a nivel de endpoints. En este sentido, resulta efectivo Kaspersky Endpoint Detection and Response.
- Implementar una solución de seguridad corporativa extra. Así se podrán detectar amenazas avanzas a nivel de red en una edad temprana. Aquí entra en juego Kaspersky Anti Targeted Attack Platform.
- Entrenamiento de concienciación en seguridad. Además, habrá que enseñar habilidades prácticas al equipo de trabajo. Para ello, se podrán emplear herramientas como Kaspersky Automated Security Awareness Platform.
Anteriores ataques a ChatGPT
Dado su éxito, el chatbot de OpenAI ha sido objetivo recurrente de ciberdelincuentes. A lo largo de 2023-2024 se han detectado sitios falsos de ChatGPT, extensiones maliciosas y aplicaciones que distribuyen troyanos para sustraer información bancaria, o bien, simplemente generar el caos corporativo. Los ciberdelincuentes suelen promocionar sus aplicaciones falsas mediante anuncios de Google.
Al buscar en Google “ChatGPT 4”, o “ChatGPT for Android”, entre los primeros resultados figura la url falsa ‘chatgptui.com’. Al ingresar el link falso, el usuario encuentra una web similar a la original, incluso con logos de empresas que usan el servicio real para darle mayor veracidad a la página.
Haciendo clic en “get started”, se observa que pide datos de registro que no se validan nunca: no es necesario que llegue un mail de confirmación y validación, algo necesario en la mayoría de servicios legítimos.
En cualquier caso, para evitar caer en la trampa y acabar pagando por una versión falsa de ChatGPT, habrá que ser precavidos al instalar cualquier tipo de extensión o suscribirse a cualquier servicio desconocido.
Siempre habrá que verificar la URL a la que llevase el anuncio. Se recomienda tipear la dirección para estar seguro de no estar entrando en una web falsa.
Tampoco es recomendable ingresar los datos de la tarjeta bancaria sin asegurarse de que se cuentan con las medidas de seguridad más óptimas. Evitar sitios con sellos falsos de ‘sitio confiable’.
Una actualización constante de software antimalware de confianza ayudará a solventar estos riesgos. En cualquier caso, lo mejor será desconectarse de la red y solicitar ayuda profesional.
