Asiantuntijat varoittavat kampanjasta, jossa ChatGPT-keskustelut ja Google-mainokset houkuttelevat ajamaan Pääte-komennon, joka asentaa AMOS/MacStealerin.
© RusPhotoBank
Tietoturva-asiantuntijat ovat paljastaneet uuden, huolestuttavan juonen: hyökkääjät käyttävät ChatGPT:tä ja Google-mainoksia houkutellakseen Mac-käyttäjiä ajamaan haitallisia komentoja Pääte-sovelluksessa. Lopputuloksena on MacStealerin salainen asennus – troijalainen, joka kykenee varastamaan iCloud-salasanoja, tiedostoja ja maksukorttitietoja.
Huntressin mukaan kampanja kohdistui ihmisiin, jotka etsivät Googlesta ohjeita macOSin levytilan vapauttamiseen. Hakkerit pystyttivät aidon ChatGPT-keskustelun, pitivät asiallisen jutustelun tallennustilan siivoamisesta ja ujuttivat mukaan vaarallisen komennon. Sen jälkeen he julkaisivat linkin ja maksoivat sen nostamisesta Google-mainoksilla hakutulosten kärkeen. On helppo ymmärtää, miksi temppu puree: näkymä on tuttu, sävy auttava ja ratkaisu luvataan yhdellä liikkeellä.
Käyttäjä näkee linkin ChatGPT-keskusteluun, olettaa lähteen olevan turvallinen ja seuraa siivousohjeita. Kun komento ajetaan Päätteessä, koneelle asentuu todellisuudessa AMOS Stealer – MacStealerin variantti, joka kerää salaa salasanoja, korottaa oikeutensa root-tasolle ja jää järjestelmään pysyvästi. Sama taktiikka toistettiin myös Grok-keskusteluissa X:ssä.
Menetelmän vaarallisuus on siinä, että se kiertää käytännössä macOS:n suojaukset. Järjestelmä luottaa käyttäjän itse käynnistämiin toimiin, joten käsin syötetty komento ei herätä varoituksia.
Asiantuntijat kehottavat erityiseen varovaisuuteen: komentoja ei pidä liittää Päätteeseen, ellei lähteestä ole täyttä varmuutta. Maksetut linkit Googlessa eivät ole automaattisesti turvallisia, ja ChatGPT:n suosio ruokkii helposti väärää turvallisuuden tunnetta. Kyse on varhaisista esimerkeistä siitä, miten rikolliset käyttävät tekoälyalustoja suoraan syöttinä, ja asiantuntijat arvioivat, että toimintatapa kehittyy edelleen.