Entre junio de 2022 y mayo de 2023, más de 101 100 credenciales de cuentas OpenAI ChatGPT comprometidas llegaron a mercados ilícitos de la red oscura, con 12 632 credenciales robadas contadas solo en India.
Group-IB dijo en un informe compartido con The Hacker News que las credenciales se encontraron entre los registros de los ladrones de información a la venta en la clandestinidad del cibercrimen.
“La cantidad de registros disponibles que contienen cuentas ChatGPT comprometidas alcanzó un máximo de 26 802 en mayo de 2023. El año pasado, la región de Asia y el Pacífico tuvo la mayor concentración de certificados ChatGPT vendidos”.
Otros países con las credenciales de ChatGPT más comprometidas incluyen Pakistán, Brasil, Vietnam, Egipto, Estados Unidos, Francia, Marruecos, Indonesia y Bangladesh.
“Los registros que contienen información filtrada recopilada por ladrones de información se comercializan activamente en los mercados de la web oscura”, dijo Group-IB.
“La información adicional sobre los registros disponibles en dichos mercados incluye listas de dominios que se encuentran en los registros e información sobre las direcciones IP de los hosts infectados”.
A menudo se ofrecen en un modelo de precios basado en suscripción, no solo reducen el umbral para el delito cibernético, sino que también actúan como conducto para ataques posteriores que utilizan credenciales incorrectas.
“Muchas empresas están integrando ChatGPT en sus flujos de trabajo operativos”, dijo Dmitry Shestakov, Director de Threat Intelligence en Group-IB.
“Los empleados ingresan cartas confidenciales o usan bots para optimizar el código propietario. Dado que la configuración estándar de ChatGPT conserva todas las conversaciones, esto podría proporcionar inadvertidamente a los actores de amenazas una gran cantidad de inteligencia confidencial si obtienen las credenciales de la cuenta”.
Para mitigar tales riesgos, se recomienda a los usuarios practicar una buena higiene de contraseñas y proteger sus cuentas con autenticación de dos factores (2FA) para evitar ataques de apropiación de cuentas.
El desarrollo se produce en medio de una campaña de malware en curso que aprovecha las páginas falsas de OnlyFans y los señuelos de contenido para adultos para ofrecer troyanos de acceso remoto y ladrones de información conocidos como DCRat (o DarkCrystal RAT), una variante de la versión modificada A de AsyncRAT.
“En los casos observados, las víctimas fueron atraídas a descargar archivos ZIP que contenían un cargador VBScript que se ejecuta manualmente”, dijeron los investigadores de eSentire, y señalaron que la actividad ha estado en marcha desde enero de 2023.
“La convención de nombres de archivos sugiere que las víctimas fueron atraídas usando fotos explícitas o contenido de OnlyFans para varias actrices de películas para adultos”.
También sigue al descubrimiento de una nueva variante de VBScript de un malware llamado GuLoader (también conocido como CloudEyE) que emplea señuelos con temas de impuestos para lanzar scripts de PowerShell capaces de recuperar e inyectar Remcos RAT en un proceso legítimo de Windows.
“GuLoader es un cargador de malware altamente evasivo que se usa comúnmente para entregar ladrones de información y herramientas de administración remota (RAT)”, dijo la compañía canadiense de ciberseguridad en un informe publicado a principios de este mes.
“GuLoader aprovecha los scripts iniciados por el usuario o los archivos de acceso directo para ejecutar múltiples rondas de comandos altamente ofuscados y shellcode encriptados. El resultado es una carga útil de malware residente en la memoria que opera dentro de un proceso legítimo de Windows”.
FUENTE: THE HACKER NEWS
