Buletin ThreatsDay: Penyalahgunaan Obrolan Claude

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Tautan obrolan AI berubah menjadi jalur pengiriman malware.

Pencarian disedot melalui add-on browser yang teduh. Tautan obrolan AI berubah menjadi jalur pengiriman malware. Serangan macOS terjadi di memori dan hampir tidak meninggalkan apa pun. Agen cloud tampak seperti pembantu sampai penyerang memperlakukan mereka seperti cangkang terbuka.

Pembajakan penelusuran menyembunyikan lapisan monetisasi Sekelompok 23 ekstensi browser Chrome yang menipu ditemukan diam-diam mengambil alih mesin telusur default pengguna dan merutekan kueri melalui middleware monetisasi sebelum memberikan hasil. “Setiap ekstensi menghadirkan tujuan iklan yang berbeda – citra satelit, alat produktivitas, pembaca berita, peta – sedangkan bisnis sebenarnya adalah pendapatan afiliasi penelusuran,” kata peneliti keamanan Jean-Marie R. . "Kampanye ini mencakup setidaknya 8 broker monetisasi yang berbeda dan ~758.000 pengguna yang terpengaruh. Meskipun ini mungkin terlihat seperti adware sederhana, ini merupakan risiko keamanan yang nyata. Pertama, ini adalah pelanggaran privasi besar-besaran: setiap pencarian yang dilakukan pengguna dikirim ke broker pihak ketiga anonim. Kedua, karena operator mengendalikan lalu lintas web, mereka dapat dengan mudah beralih dari menampilkan hasil pencarian biasa ke memasukkan tautan phishing atau unduhan berbahaya kapan saja – semuanya tanpa pernah memperbarui kode ekstensi itu sendiri."

Penyalahgunaan obrolan Claude memicu pengiriman malware Dalam kampanye ClickFix lainnya, pelaku ancaman terlihat menggunakan fitur obrolan bersama Anthropic Claude, menyalahgunakan kepercayaan yang terkait dengan domain sah untuk mengirimkan malware pencuri kredensial MacSync. “Penjahat dunia maya membajak penelusuran Google Ads untuk alat pengembang AI populer untuk mengarahkan lebih dari 2.000 korban ke halaman unduhan berbahaya sebelum secara diam-diam memindahkan operasi mereka ke platform claude. ai sendiri, mengubah domain tepercaya menjadi mekanisme pengiriman malware pencuri kredensial,” kata Trend Micro. “Wilayah Asia-Pasifik menanggung beban terberat dari kampanye ini, mencakup 67, 2% dari seluruh korban yang terkonfirmasi, dengan Taiwan sendiri mewakili 30, 5% dari total lalu lintas, sebuah konsentrasi yang mengarah pada penargetan iklan geografis yang disengaja daripada penyebaran oportunistik.” Sebanyak 106 nama host berbahaya yang unik telah diidentifikasi selama rentang waktu tujuh minggu dalam enam gelombang serangan yang berbeda. Anthropic sejak itu telah melarang akun-akun yang bertanggung jawab, menonaktifkan percakapan bersama yang berbahaya, dan menerapkan mitigasi penyalahgunaan tambahan untuk fitur obrolan bersama.

Pemuat multi-tahap menghindari rantai analisis Kampanye aktif memanfaatkan pemuat multi-tahap yang disebut OnionDrop untuk mengirimkan keluarga malware seperti LegionLoader (alias CurlyGate), CGrabber, dan Vidar Stealer. OnionDrop adalah malware tingkat lanjut dengan fitur penghindaran pertahanan dan anti-analisis yang ekstensif. "Rantai ini dimulai dengan arsip ZIP dan executable resmi bertanda tangan Adobe yang digunakan untuk side-loading DLL," kata Cyderes. "Dari sana, DLL berbahaya berjalan melalui empat tahap transformasi: decoding pasangan byte khusus, dekompresi Xpress Huffman melalui RtlDecompressBufferEx, dekripsi AES-256-CBC dengan material kunci yang berputar, dan eksekusi shellcode akhir melalui penyalahgunaan panggilan balik TpPostWork di dalam Windows Thread Pool. Ini adalah kerangka kerja penghindaran yang dirancang secara profesional sehingga siapa pun yang memiliki akses dapat menunjuk ke target mana pun."

Itu berarti pihak pertahanan harus bersikap kurang romantis mengenai gagal bayar. Perhatikan alat yang dipercaya pengguna, bukan hanya file yang mereka unduh. Agen audit menyukai akun. Perlakukan paket seperti eksekusi kode. Perlakukan tautan dari platform tepercaya seperti tautan, bukan bukti keamanan. Internet tidak mati minggu ini. Hal ini mengingatkan kita bahwa “sah” tidak sama dengan aman.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com