Hogyan működik a támadás?
Az áldozatok egyszerűen Machez kapcsolódó kereséseket írnak be, például karbantartásról, hibaelhárításról vagy az Atlas böngészőről érdeklődnek. A Google hirdetései ezután közvetlenül olyan, nyilvánosan megosztott ChatGPT- vagy Grok-beszélgetésekhez irányítanak, amelyek veszélyes utasításokat tartalmaznak. A megtévesztés abban rejlik, hogy ezek az oldalak ténylegesen a ChatGPT és a Grok platformjain találhatók, így megbízhatónak tűnnek.
Veszélyes parancsok és kártevő telepítés
Ha a felhasználók követik a csevegőben leírt parancsokat, és beírják a Terminálba, egy rejtett, Base64‑kóddal dekódolt Bash-szkript fut le. Ez egy hamis jelszókérő ablakot dob fel, elmenti a begépelt jelszót, majd root jogosultságokkal letölti és telepíti a gépre az AMOS kémprogramot.
Mi történik a gépen?
Az AMOS rejtett fájlként (.helper) kerül fel a felhasználó mappájába. Első dolga, hogy átnézi a telepített alkalmazások között található kriptotárcákat – például a Ledger Walletet vagy a Trezor Suite-ot – és azokat hamisított programokkal helyettesíti, hamis magmondat (seed phrase) bekérésével. Továbbá hozzájut olyan pénztárcák adataihoz, mint az Electrum, az Exodus, a MetaMask, a Ledger Live és a Coinbase Wallet, továbbá a böngészős sütikhez (cookie-khoz), mentett jelszavakhoz, a macOS Kulcskaróban (Keychain) tárolt Wi‑Fi-kulcsokhoz és egyéb adatokhoz. A perzisztenciáról egy LaunchDaemon gondoskodik, amely minden megszakítás után azonnal újraindítja a kártevőt.
Hogyan védekezz?
Ne hajts végre ismeretlen netes parancsokat – főleg, ha nem érted pontosan, mit tesznek! A Kaspersky szerint már egy egyszerű visszakérdezés a ChatGPT-n, hogy biztonságosak-e az utasítások, felfedheti a veszélyt. Az MI-platformok fejlődésével a csalók egyre kifinomultabb módszerekkel támadnak, ezért most különösen érdemes résen lenni.
