Varianty ChatGPT umožňují úniky dat
Společnost OpenAI zabývající se umělou inteligencí a strojovým učením na začátku listopadu oznámila možnost vytvoření vlastních instancí chatbotů, takzvaných GPTs. Nové implementace GPTs tak umožňují například komplexní datovou analýzu, hraní her, nebo generování obrázků pomocí DALLE. Bezpečnostní výzkumník Johann Rehberger však objevil závažnou chybu, která není doposud zcela opravena.
Rehberger na svém blogu předvedl proof-of-concept (POC) GPT, který je schopen exfiltrovat data o uživateli a přeposílat je na libovolnou URL. Konkrétně jde o chatbota „The Thief!“, hrajícího piškvorky. Ten před samotnou hrou uživatele požádá o přihlašovací údaje. Každá odpověď chatbota však renderuje skrytý obrázek ve formátu markdown obsahující kód, který data odesílá na vzdálený server. Podobně upravený GPT by například byl schopný odesílat data jako user ID, session ID, IP adresu, či jiné.
V reakci na příspěvek na blogu, implementovala společnost OpenAI do nové verze client-side validaci načítaných obrázků z nebezpečných adres, ale specifikace databází těchto adres zatím nejsou známé. Rehberger dále uvádí, že i s novým filtrem některé požadavky prošly. Situace se zdá být nejhorší na iOS mobilní aplikaci ChatGPT, kde ani základní validace není prozatím implementována.
Nový JavaScript web injection cílí na bankovní účty
Výzkumníci společnosti IBM v březnu tohoto roku zaznamenali rozsáhlou kampaň, kdy se útočníci snaží do cílového počítače doručit sofistikovaný malware s cílem získávat přihlašovací údaje uživatelů do jejich bankovních účtů. Podle dostupných informací již existuje přes padesát tisíc infikovaných uživatelů, kteří využívají služeb jedné ze čtyřiceti finančních institucí po celém světe.
Pro útoky je charakteristické použití scriptu staženého z domény jscdnpack[.]com, který specificky cílí na strukturu login stránek, která je podobná pro různé banky. Samotný malware se do cílové stanice dostává s největší pravděpodobností přes malvertising, nebo phishingové emaily. Při návštěvě webu banky je stránka na straně klienta pozměněna tak, aby obsahovala škodlivý kód, který odchytává přihlašovací údaje a one-time-password (OTP), které poté odesílá na command-and-control (C2) server. Script navíc neustále získává další instrukce z C2 ohledně dalších aktivit, dle požadavků útočníka.
Malware je poměrně dobře ukryt a snaží se mazání stop, které by mohly naznačovat, že se jedná o web injection, neboli takzvaný man-in-the-browser útok. Dále se také aktivně vyhýbá detekcím, například za pomoci zkracování doby aktivity, nebo různou funkčností na specifických zařízeních a operačních systémech. Přesný původ tohoto malware není zatím znám, ale analýza chování a kódu malware naznačuje spojení s info-stealing rodinou DanaBot, která často slouží jako inicializační vektor různých ransoware malwarů.
Pozor na nákupy na e-shopech
Europol odhalil rozsáhlou útočnou kampaň, která postihovala více než 400 internetových obchodů. V rámci vyšetřování byly odhaleny škodlivé skripty, známé jako skimmery, které během nákupů kradly zákazníkům informace o debetních a kreditních kartách.
Skimmery jsou malé kusy JavaScriptu a v rámci kampaně byly skrytě vkládány do platebních stránek nebo do nich byly vzdáleně načítány. V rámci jejich aktivity kradly klíčové údaje o platebních kartách – čísla karet, data platnosti, ověřovací kódy, jména a adresy zákazníků – a používaly je k neoprávněným transakcím nebo se následně prodávaly na darkwebových fórech.
V rámci dvouměsíčního mezinárodního úsilí vedeného Europolem a zahrnujícího 17 zemí a soukromé firmy jako Group-IB a Sansec bylo identifikováno 443 infikovaných webových stránek, které následně byly na tuto situaci upozorněny.
Europol doporučuje obchodníkům, aby se seznámili s jeho příručkou pro boj proti digitálnímu skimmingu. Vzhledem ke zvýšenému počtu nákupů na internetu v období svátků je pro minimalizaci rizik zásadní používat bezpečné platební metody a pravidelně kontrolovat výpisy z karet, zda na nich nejsou neobvyklé transakce.
LAPSUS$: následky pro britské teenagery
Kyberzločinecká skupina LAPSUS$, do níž jsou zapojeni členové ze Spojeného království a Brazílie, provedla v období od srpna 2020 do září 2022 významné útoky na společnosti jako LG, Microsoft, NVIDIA, Okta, Revolut, Rockstar Games, Samsung, Ubisoft, Uber, Vodafone a další. Dva britští teenageři čelili za svou účast na těchto akcích následkům.
Arion Kurtaj, osmnáctiletý mladík z Oxfordu, dostal kvůli svému záměru pokračovat v kybernetické kriminalitě příkaz k hospitalizaci ve speciální nemocnici na dobu neurčitou, přestože byl kvůli autismu nezpůsobilý k soudnímu řízení. Kurtaj stál například za úniky dat z dosud nevydané hry Grand Theft Auto VI. Další sedmnáctiletý mladík byl zase odsouzen k 18měsíčnímu pobytu v nápravném zařízení pro mládež za více trestných činů.
LAPSUS$ používal k operacím a vydírání zmíněných firem SIM-swapping útoky a platformy jako Telegram. LAPSUS$ se zaměřil na společnosti jako Okta, Uber, Revolut a Microsoft, přičemž místo požadování výkupného data především kradli a zveřejňovali. Několikrát pronikli do společnosti LG Electronics a unikla i citlivá data společností jako Samsung a NVIDIA.
Další zajímavé odkazy
- Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft
- Operation RusticWeb: Rust-Based Malware Targets Indian Government Entities
- Microsoft Warns of New ‚FalseFont‘ Backdoor Targeting the Defense Sector
- SANS: Keylogger používající Mailtrap.io
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
