تشخیص فیشینگ ChatGPT در رسانه های اجتماعی با کمک هوش DNS

از زمان عرضه آن در نوامبر گذشته، تبلیغات ChatGPT نه تنها در بین کاربران بلکه در بین سوء استفاده کنندگان نیز افزایش یافته است. محققان Cyble اخیراً حملات فیشینگ را با استفاده از سایت‌های فرضی ChatGPT برای فیش کردن اطلاعات شخصی شناسایی (PII) به‌ویژه داده‌های کارت اعتباری مشاهده کردند.

مطالعه Cyble چهار دامنه را به عنوان شاخص های سازش (IoCs) شناسایی کرد – openai-pc-pro[.]آنلاین، چت-gpt-pc[.]آنلاین، chatgpt-go[.]آنلاین، و تغییر نام تجاری[.]ly- که ما از آن به عنوان نقاط پرش برای تجزیه و تحلیل بسط استفاده کردیم که منجر به کشف موارد زیر شد:

پنج آدرس IP که IoCها به آنها حل شده اند

• 303 دامنه که میزبان های IP IoC ها را به اشتراک گذاشته بودند که یکی از آنها مخرب بود
• 1142 دامنه که با رشته ها شروع شد openai، chatgpt، و تغییر نام تجاری شبیه به دو IoC که 11 مورد از آنها میزبان بدافزار تایید شده بودند
• 2693 زیر دامنه که رشته را در بر می گرفت chatgpt، پنج مورد از آنها ممکن است قبلاً در کمپین های مخرب نقش داشته باشند

نمونه ای از مصنوعات اضافی به دست آمده از تجزیه و تحلیل ما برای دانلود از وب سایت ما در دسترس است.

اتصالات WHOIS

ما تجزیه و تحلیل خود را با جستجوی WHOIS انبوه برای IoCها آغاز کردیم که نشان داد سه مورد از آنها به تازگی ثبت شده اند-openai-pc-pro[.]آنلاین، چت-gpt-pc[.]آنلاین و chatgpt-go[.]آنلاین، در حالی که تغییر نام تجاری[.]لی قبلا نه ساله بود. به نظر می رسد که هیچ یک از آنها متعلق به شرکت هایی نباشد که نام آنها به صورت رشته ای در آنها بر اساس مقایسه رکورد WHOIS با دامنه های قانونی openai درج شده است.[.]com و تغییر نام تجاری[.]com به طور مشخص:

دامنه های openai-pc-pro[.]آنلاین، چت-gpt-pc[.]آنلاین و chatgpt-go[.]آنلاین openai را به اشتراک گذاشت[.]ثبت کننده com گاندی SAS و کشور ثبت کننده فرانسه.

Openai-Pc-pro[.]آنلاین و چت-gpt-pc[.]ثبت کننده آنلاین Namecheap، Inc. بود، در حالی که ثبت کننده chatgpt-go[.]آنلاین PDR Ltd بود.

همچنین openai-pc-pro[.]آنلاین و چت-gpt-pc[.]کشور ثبت‌کننده آنلاین، ایسلند بود، در حالی که کشور chatgpt-go[.]آنلاین رومانی بود.

پیوندهای DNS

برای یافتن سایر اتصالاتی که منتشر نشده اند، جستجوهای DNS را در IoC انجام دادیم که به ما پنج وضوح آدرس IP را داد که سه مورد از آنها 69 است.[.]12[.]73[.]19، 104[.]21[.]21[.]135 و 172[.]67[.]199[.]21. موقعیت جغرافیایی IP و جستجوی معکوس IP/DNS برای میزبان IP نشان داد که:

• چهار نفر از آنها از ایالات متحده و یک نفر از ویتنام بودند.
• یک آدرس IP اتصال دامنه نداشت.
• دو میزبان IP مشترک بودند، در حالی که دو نفر دیگر به نظر می رسید میزبان خصوصی باشند.
• چهار آدرس IP با اتصالات DNS موجود میزبان 303 دامنه بودند که یکی از آنها – denizyilbasiozel-taycan4s[.]com – معلوم شد که مخرب است.

سه نام تجاری – OpenAI، ChatGPT و Rebrand – در IoCها ظاهر شدند. برای تعیین اینکه آیا دامنه های بیشتری با آن شروع شده اند یا خیر openai، chatgpt، و تغییر نام تجاری و حاوی chatgpt، ما از آنها به عنوان عبارات جستجوی Domains & Subdomains Discovery استفاده کردیم. که منجر به کشف:

• 1142 دامنه که با openai، chatgpt، و تغییر نام تجاری، 11 مورد از آنها مخرب بودند
• 2693 زیر دامنه که شامل chatgpt، پنج مورد از آنها میزبان بدافزار تایید شده بودند

یافته های دیگر

مقایسه رکوردهای WHOIS اضافی از دامنه ها و زیر دامنه های متصل به رشته، یافته های جالبی به دست آورد، مانند:

• فقط سه دامنه از 372 دامنه ای که با آن شروع شد openai کشور ثبت کننده و ثبت کننده OpenAI را به اشتراک گذاشت. با این حال، از زمانی که باز شد، نمی‌توانستیم دقیقاً مالکیت آنها را تأیید کنیم[.]رکورد WHOIS com ویرایش شد.
• فقط یکی از 184 دامنه ای که با آن شروع شد تغییر نام تجاری بر اساس آدرس ایمیل ثبت‌کننده آن متعلق به Rebrand بود.
• هیچ یک از 589 دامنه ای که با آن شروع شد chatgpt کشور ثبت کننده و ثبت کننده OpenAI را به اشتراک گذاشت. سه تا از دامنه ها با شروع openai کشور ثبت کننده و ثبت کننده OpenAI را به اشتراک گذاشت در حالی که فقط یک دامنه شروع می شود تغییر نام تجاری به نظر می رسید متعلق به ریبرند باشد.

  

• در میان دامنه‌هایی که حاوی رشته‌هایی هستند که در بین IoCها یافت می‌شوند (به عنوان مثال، openai، تغییر نام تجاری، و chatgpt)، فقط chatgpt در آنها ظاهر شد.
• ما همچنین به زیر دامنه هایی که حاوی آن بودند نگاه کردیم chatgpt از آنجایی که رشته فقط به عنوان یک زیر دامنه از دامنه قانونی متعلق به OpenAI ظاهر می شود. هیچ یک از 2693 زیردامنه ای که در آن وجود داشت chatgpt پس از بررسی دقیق جزئیات رکورد WHOIS به نظر می رسید که متعلق به شرکت باشد.

همانطور که کمپین های فیشینگ با موضوع ChatGPT نشان دادند، محبوبیت آنلاین یک شمشیر دولبه است. در حالی که کاربران بیشتر و بیشتری از این فناوری و مزایای آن آگاه می شوند، تعداد فزاینده ای از فیشرها و سایر مجرمان سایبری مجبور به استفاده از نام آن در کمپین های خود هستند.

اگر می‌خواهید تحقیقات مشابهی انجام دهید یا به اطلاعات کامل این تحقیق دسترسی داشته باشید، لطفاً با ما تماس بگیرید.