Desde su lanzamiento en noviembre pasado, la exageración de ChatGPT solo ha aumentado no solo entre los usuarios sino también entre los abusadores. Los investigadores de Cyble detectaron recientemente ataques de phishing utilizando supuestos sitios de ChatGPT para suplantar información de identificación personal (PII), específicamente datos de tarjetas de crédito.
El estudio de Cyble identificó cuatro dominios como indicadores de compromiso (IoC): openai-pc-pro[.]en línea, chat-gpt-pc[.]en línea, chatgpt-go[.]en línea y cambiar la marca[.]ly, que usamos como puntos de partida para un análisis de expansión que condujo al descubrimiento de:
Cinco direcciones IP que los IoC resolvieron
- 303 dominios que compartían los hosts IP de los IoC, uno de los cuales resultó ser malicioso
- 1.142 dominios que empezaron con las cadenas abierto, chatgpt.y cambiar la marca similar a dos de los IoC, 11 de los cuales fueron hosts de malware confirmados
- 2693 subdominios que contenían la cadena chatgptcinco de los cuales pueden haber figurado ya en campañas maliciosas
Una muestra de los artefactos adicionales obtenidos de nuestro análisis está disponible para descargar desde nuestro sitio web.
Conexiones de WHOIS
Comenzamos nuestro análisis con una búsqueda masiva de WHOIS para los IoC que mostró que tres de ellos se habían registrado recientemente: openai-pc-pro[.]en línea, chat-gpt-pc[.]en línea y chatgpt-go[.]en línea, mientras cambia la marca[.]ly ya tenía nueve años. Ninguno de ellos parece ser propiedad de las empresas cuyos nombres aparecían como cadenas en ellos según las comparaciones de registros de WHOIS con los dominios legítimos abiertos.[.]com y cambio de marca[.]com. Específicamente:
Los dominios openai-pc-pro[.]en línea, chat-gpt-pc[.]en línea y chatgpt-go[.]en línea no compartió openai[.]registrador de com Gandi SAS y país registrante Francia.
Openai-pc-pro[.]online y chat-gpt-pc[.]El registrador de online era Namecheap, Inc., mientras que el de chatgpt-go[.]en línea fue PDR Ltd.
Además, openai-pc-pro[.]online y chat-gpt-pc[.]El país registrante de online fue Islandia, mientras que el de chatgpt-go[.]en línea era Rumania.
Vínculos DNS
Para encontrar otras conexiones que no se hayan publicado, realizamos búsquedas de DNS en los IoC que nos dieron cinco resoluciones de direcciones IP, tres de las cuales son 69[.]12[.]73[.]19, 104[.]21[.]21[.]135 y 172[.]67[.]199[.]21. La geolocalización de IP y las búsquedas inversas de IP/DNS para los hosts de IP mostraron que:
- Cuatro de ellos se originaron en los EE. UU., Mientras que uno era de Vietnam.
- Una dirección IP no tenía conexiones de dominio.
- Dos eran hosts IP compartidos, mientras que otros dos parecían ser hosts privados.
- Las cuatro direcciones IP con conexiones DNS existentes albergaban 303 dominios, uno de los cuales: denizyilbasiozel-taycan4s[.]com—resultó ser malicioso.
Tres marcas (OpenAI, ChatGPT y Rebrand) aparecieron en los IoC. Para determinar si más dominios comenzaron con abierto, chatgpt.y cambiar la marca y contener chatgpt, los usamos como términos de búsqueda de descubrimiento de dominios y subdominios. Eso llevó al descubrimiento de:
- 1.142 dominios que comenzaron con abierto, chatgpt.y cambiar la marca11 de los cuales resultaron ser maliciosos
- 2.693 subdominios que contenían chatgptcinco de los cuales fueron hosts de malware confirmados
Otros hallazgos
Las comparaciones adicionales de registros de WHOIS de los dominios y subdominios conectados por cadenas arrojaron hallazgos interesantes, como:
- Solo tres de los 372 dominios que comenzaron con abierto compartió el registrador de OpenAI y el país del registrante. Sin embargo, no pudimos confirmar con precisión su propiedad, ya que openai[.]El registro de WHOIS de com fue redactado.
- Solo uno de los 184 dominios que comenzaron con cambiar la marca era propiedad de Rebrand según la dirección de correo electrónico del registrante.
- Ninguno de los 589 dominios que comenzaron con chatgpt. compartió el registrador de OpenAI y el país del registrante. Tres de los dominios que comienzan con abierto compartió el registrador de OpenAI y el país del registrante, mientras que solo un dominio que comienza con cambiar la marca parecía ser propiedad de Rebrand.
- Entre los dominios que contenían cadenas encontradas entre los IoC (es decir, abierto, cambiar la marcay chatgpt.), solo chatgpt. apareció en ellos.
- También analizamos los subdominios que contenían chatgpt ya que la cadena aparecía solo como un subdominio del dominio legítimo perteneciente a OpenAI. Ninguno de los 2693 subdominios que contenía chatgpt parecía ser propiedad de la empresa después de un escrutinio cuidadoso de los detalles de su registro de WHOIS.
La popularidad en línea es un arma de doble filo, como lo demostraron las campañas de phishing con el tema de ChatGPT. Si bien cada vez más usuarios se dan cuenta de la tecnología y sus beneficios, un número cada vez mayor de phishers y otros ciberdelincuentes están obligados a utilizar su nombre en sus campañas.
Si desea realizar una investigación similar u obtener acceso a los datos completos detrás de esta investigación, no dude en contactarnos.