近日,網絡安全領域曝出一起新型網絡攻擊事件,一款假冒的ChatGPT Atlas瀏覽器悄然在網絡上出現,其背后隱藏的惡意企圖引發關注。這款假冒瀏覽器并非采用高深莫測的黑客技術,而是利用用戶的信任來竊取電腦中存儲的賬戶和密碼信息。
據研究機構Fable的調查,該假冒瀏覽器的下載入口被巧妙地放置在搜索結果廣告位的顯眼位置。用戶點擊進入后,會發現其官網與ChatGPT Atlas的正版官網幾乎一模一樣,從布局、設計到文案都進行了完美復制。然而,仔細觀察不難發現,其使用的域名是Google Sites的,這成為了識別該假冒網站的一個關鍵破綻。
現代黑客在實施網絡攻擊時,常常會采用一些看似巧妙卻并不復雜的方法。他們通常會使用v0.dev這類工具來克隆正規網站,并將克隆后的網站托管至Google Sites。由于許多不熟悉互聯網的用戶對谷歌品牌存在天然的信任感,認為“谷歌等于可信”,這就為黑客的攻擊提供了可乘之機。
當用戶被假冒網站的外觀所迷惑,點擊下載按鈕后,事情便開始朝著危險的方向發展。與正常的.dmg安裝文件不同,該假網站會引導用戶將一段命令復制到終端執行。對于具備一定電腦知識的用戶來說,這顯然是一個危險的信號,能夠輕易識破其中的貓膩。但對于那些對計算機不太熟悉的用戶而言,他們往往不會察覺到異常,而是會按照提示乖乖照做。
這段看似無害的命令,實際上是一段base64編碼的字符串。當用戶將其敲入終端后,會通過curl傳入并交由bash執行。隨后,木馬程序會彈出窗口,要求用戶輸入管理員密碼。一旦用戶言聽計從,木馬便會以sudo權限運行第二階段的惡意載荷,在用戶的電腦上肆意妄為,竊取電腦里存儲的賬戶密碼等敏感信息。
從本質上來說,這種攻擊手段屬于ClickFix的變體。黑客并沒有運用什么高超的技能,而是單純地利用社會工程學原理,借助普通用戶對正規品牌和權威機構的天然信任感,誘導用戶手動執行命令,從而達到其竊取信息的惡意目的。
