Más de 101 100 credenciales de cuentas de OpenAI ChatGPT comprometidas encontraron su camino en mercados ilícitos de la web oscura entre junio de 2022 y mayo de 2023, y solo en India se contabilizaron 12 632 credenciales robadas.
Las credenciales se descubrieron dentro de los registros de ladrones de información disponibles para la venta en la clandestinidad del ciberdelito, dijo Group-IB en un informe compartido con The Hacker News.
«La cantidad de registros disponibles que contienen cuentas ChatGPT comprometidas alcanzó un máximo de 26 802 en mayo de 2023», dijo la compañía con sede en Singapur . «La región de Asia-Pacífico ha experimentado la mayor concentración de credenciales de ChatGPT que se han puesto a la venta durante el último año».
Otros países con la mayor cantidad de credenciales de ChatGPT comprometidas incluyen Pakistán, Brasil, Vietnam, Egipto, EE. UU., Francia, Marruecos, Indonesia y Bangladesh.
Un análisis más detallado ha revelado que la mayoría de los registros que contienen cuentas de ChatGPT han sido violados por el notorio ladrón de información de Raccoon (78 348), seguido por Vidar (12 984) y RedLine (6 773).
Los ladrones de información se han vuelto populares entre los ciberdelincuentes por su capacidad para secuestrar contraseñas, cookies, tarjetas de crédito y otra información de los navegadores y extensiones de billetera de criptomonedas.
«Los registros que contienen información comprometida recopilada por los ladrones de información se comercializan activamente en los mercados de la web oscura», dijo Group-IB.
«La información adicional sobre los registros disponibles en dichos mercados incluye las listas de dominios que se encuentran en el registro, así como la información sobre la dirección IP del host comprometido».
Por lo general, se ofrecen en función de un modelo de precios basado en suscripción, no solo han bajado la barra para el delito cibernético, sino que también sirven como conducto para lanzar ataques de seguimiento utilizando las credenciales desviadas.
«Muchas empresas están integrando ChatGPT en su flujo operativo», dijo Dmitry Shestakov, jefe de inteligencia de amenazas en Group-IB.
«Los empleados ingresan correspondencia clasificada o usan el bot para optimizar el código propietario. Dado que la configuración estándar de ChatGPT conserva todas las conversaciones, esto podría ofrecer inadvertidamente una gran cantidad de inteligencia confidencial a los actores de amenazas si obtienen las credenciales de la cuenta».
Para mitigar tales riesgos, se recomienda que los usuarios sigan las prácticas adecuadas de higiene de contraseñas y protejan sus cuentas con autenticación de dos factores (2FA) para evitar ataques de apropiación de cuentas.
El desarrollo se produce en medio de una campaña de malware en curso que aprovecha las páginas falsas de OnlyFans y los señuelos de contenido para adultos para ofrecer un troyano de acceso remoto y un ladrón de información llamado DCRat (o DarkCrystal RAT), una versión modificada de AsyncRAT.
«En los casos observados, las víctimas fueron atraídas a descargar archivos ZIP que contenían un cargador VBScript que se ejecuta manualmente», dijeron los investigadores de eSentire , y señalaron que la actividad ha estado en marcha desde enero de 2023.
«La convención de nombres de archivos sugiere que las víctimas fueron atraídas usando fotos explícitas o contenido de OnlyFans para varias actrices de películas para adultos».
También sigue al descubrimiento de una nueva variante de VBScript de un malware llamado GuLoader (también conocido como CloudEyE) que emplea señuelos con temas de impuestos para lanzar scripts de PowerShell capaces de recuperar e inyectar Remcos RAT en un proceso legítimo de Windows.
«GuLoader es un cargador de malware altamente evasivo que se usa comúnmente para entregar ladrones de información y herramientas de administración remota (RAT)», dijo la compañía canadiense de ciberseguridad en un informe publicado a principios de este mes.
«GuLoader aprovecha los scripts iniciados por el usuario o los archivos de acceso directo para ejecutar múltiples rondas de comandos altamente ofuscados y shellcode encriptados. El resultado es una carga útil de malware residente en la memoria que opera dentro de un proceso legítimo de Windows».
Fuente y redacción: thehackernews.com