Lebih dari 101,100 kredensial akun OpenAI ChatGPT yang disusupi, ditemukan di dark web antara Juni 2022 dan Mei 2023, dengan India sebagai negara penyumbang jumlah akun terbanyak yang dicuri, yaitu sebanyak 12,632.
“Jumlah log yang tersedia yang berisi akun ChatGPT yang disusupi mencapai puncaknya sebanyak 26.802 pada Mei 2023,” kata perusahaan yang berkantor pusat di Singapura itu. “Wilayah Asia-Pasifik mengalami konsentrasi tertinggi sebagai kredensial ChatGPT yang ditawarkan untuk dijual selama setahun terakhir.”
Negara-negara lain dengan jumlah kredensial ChatGPT yang disusupi paling banyak termasuk Pakistan, Brasil, Vietnam, Mesir, AS, Prancis, Maroko, Indonesia, dan Bangladesh.
Analisis lebih lanjut mengungkapkan bahwa sebagian besar log yang berisi akun ChatGPT telah dibobol oleh pencuri informasi Raccoon yang terkenal kejam (78.348), diikuti oleh Vidar (12.984) dan RedLine (6.773).
Pencuri informasi telah menjadi populer di kalangan penjahat siber karena kemampuannya untuk membajak kata sandi, cookie, kartu kredit, dan informasi lain dari browser, dan ekstensi dompet mata uang kripto.
“Log yang berisi informasi yang disusupi yang diambil oleh pencuri informasi secara aktif diperdagangkan di dark web,” kata Group-IB.
“Informasi tambahan tentang log yang tersedia di pasar tersebut termasuk daftar domain yang ditemukan dalam log serta informasi tentang alamat IP dari host yang disusupi.”
Biasanya ditawarkan berdasarkan model harga berbasis langganan, mereka tidak hanya menurunkan standar kejahatan siber, tetapi juga berfungsi sebagai saluran untuk meluncurkan serangan lanjutan menggunakan kredensial yang dicuri.
“Banyak perusahaan yang mengintegrasikan ChatGPT ke dalam alur operasional mereka,” ujar Dmitry Shestakov, kepala intelijen ancaman di Group-IB.
“Karyawan memasukkan korespondensi rahasia atau menggunakan bot untuk mengoptimalkan kode kepemilikan. Mengingat bahwa konfigurasi standar ChatGPT menyimpan semua percakapan, hal ini secara tidak sengaja dapat memberikan informasi intelijen yang sensitif kepada para pelaku ancaman jika mereka mendapatkan kredensial akun.”
Untuk mengurangi risiko tersebut, disarankan agar pengguna mengikuti “praktik kebersihan” kata sandi yang tepat dan mengamankan akun mereka dengan otentikasi dua faktor (2FA) untuk mencegah serangan pengambilalihan akun.
Perkembangan ini terjadi di tengah kampanye malware yang sedang berlangsung yang memanfaatkan halaman OnlyFans palsu dan iming-iming konten dewasa untuk mengirimkan trojan akses jarak jauh dan pencuri informasi yang disebut DCRat (atau DarkCrystal RAT), versi modifikasi dari AsyncRAT.
“Dalam kasus yang diamati, para korban dipikat untuk mengunduh file ZIP yang berisi pemuat VBScript yang dijalankan secara manual,” kata para peneliti eSentire, mencatat bahwa aktivitas tersebut telah berlangsung sejak Januari 2023.
“Konvensi penamaan file menunjukkan bahwa para korban dipancing menggunakan foto-foto eksplisit atau konten OnlyFans untuk berbagai aktris film dewasa.”
Hal ini juga mengikuti penemuan varian VBScript baru dari malware yang disebut GuLoader (alias CloudEyE) yang menggunakan umpan bertema pajak untuk meluncurkan skrip PowerShell yang mampu mengambil dan menyuntikkan Remcos RAT ke dalam proses Windows yang sah.
“GuLoader adalah pemuat malware yang yang biasa digunakan untuk mengirimkan pencuri informasi dan Remote Administration Tools (RAT),” kata perusahaan keamanan siber asal Kanada itu dalam laporan yang diterbitkan awal bulan ini.
“GuLoader memanfaatkan skrip yang diprakarsai pengguna atau file pintasan untuk mengeksekusi beberapa putaran perintah yang sangat dikaburkan dan shellcode terenkripsi. Hasilnya adalah muatan malware yang tinggal di memori yang beroperasi di dalam proses Windows yang sah.”