Zurück zu allen Beiträgen
Veröffentlicht am · von Renaud Deraison

Die Malware lag auf chatgpt.com — und genau das war der Plan

Eine neue Kampagne mietet das Vertrauen einer Domain, an die Sie längst glauben. Eine Google-Anzeige schickt Sie zu einem echten chatgpt.com-Share-Link, der Share-Link zeigt eine gefälschte Ausfallmeldung, und die Meldung reicht Ihnen Malware. So wird das Vertrauen geliehen — und warum das Leihen bedeutungslos wird, wenn das Ganze in einer VM passiert, die man wegwirft.

In der Adressleiste stand chatgpt.com. Das Schloss-Symbol war grün. Die Seite wurde von OpenAI ausgeliefert. Jedes Signal, das ein vorsichtiger Mensch zu prüfen gelernt hat, kam sauber zurück — und die Seite versuchte trotzdem, Malware auf dem Computer zu installieren. Die vertrauenswürdige Domain war kein Versehen. Sie war der Plan.

Sie suchen nach ChatGPT. Sie tippen es bei Google ein, so wie es ein paar hundert Millionen Menschen jeden Tag tun. Das erste Ergebnis ist eine Anzeige. Die Anzeige sagt ChatGPT, verlinkt auf ChatGPT und bringt Sie auf eine Seite, deren Adresse tatsächlich mit chatgpt.com beginnt. Bis hierher ist nichts falsch. Nichts sieht falsch aus, weil sichtbar nichts falsch ist: Sie sind auf der echten Domain von OpenAI.

Dann teilt Ihnen die Seite mit, dass die Website nicht erreichbar sei. „Wir verzeichnen gerade hohen Andrang", heißt es. „Unsere Website ist aufgrund einer großen Zahl von Nutzern vorübergehend nicht verfügbar." Sie schlägt vor, stattdessen die Desktop-App herunterzuladen. Es gibt einen Button. Sie sind auf chatgpt.com, der Dienst hat offensichtlich gerade einen Aussetzer, und eine Desktop-App ist etwas Vernünftiges, das man sich wünschen kann. Sie klicken.

Das ist der ganze Trick, und Sicherheitsforscher bei Push Security haben ihn Ende Mai dokumentiert, in einer Kampagne, die sie LLMShare nennen. Es lohnt sich, ihn im Detail zu verstehen, denn er ist ein sauberes Beispiel für ein Angriffsmuster, das immer wieder auftauchen wird: nicht in einen vertrauenswürdigen Dienst einzubrechen, sondern dessen Reputation zu mieten.

Die Seite lag wirklich auf chatgpt.com.

ChatGPT lässt Sie, wie die meisten großen KI-Produkte, eine Konversation teilen. Sie klicken auf Teilen, Sie erhalten einen Link unter chatgpt.com/s/, und jeder mit dem Link sieht eine gerenderte Kopie des Austauschs. Nützlich, gewöhnlich, allgegenwärtig.

Der Haken liegt darin, was „gerendert" bedeutet. Diese geteilten Seiten können die Ausgabe des Modells enthalten, und diese Ausgabe kann HTML und CSS enthalten — dieselben Zutaten, aus denen jede Webseite gemacht ist. Statt also eine Konversation zu teilen, teilt der Angreifer eine „Konversation", deren Inhalt eine handgebaute Fälschung ist: eine pixelgenaue OpenAI-Ausfallmeldung, mit den richtigen Schriften, dem richtigen Blau, dem richtigen Ton. Laut der Forschung ist das verräterische Detail subtil — die geteilte Ansicht trägt weiterhin ChatGPTs eigene Bedienelemente „Show code" und „Remix", das Indiz dafür, dass die „Ausfallseite" nur eigenes Markup ist, das jemand verfasst hat.

Der Sinn dieser Vorgehensweise ist die URL. Der Malware-Köder liegt nicht auf chatgpt-downloads-official.biz. Er liegt auf chatgpt.com, einer Domain mit makelloser Reputation, einem gültigen Zertifikat und einem festen Platz im Muskelgedächtnis aller, die das Produkt je verwendet haben. Jede Verteidigung, die nach dem Prinzip „ist das eine Domain, der wir vertrauen?" funktioniert, antwortet mit Ja, weil die ehrliche Antwort Ja lautet.

1 · DIE ANZEIGEGoogle-AnzeigeSuche „ChatGPT"2 · ECHTE DOMAINchatgpt.com/s/ein geteilter „Chat"3 · FALSCHER AUSFALL„Wir sind down"eigenes HTML/CSS4 · WEITERLEITUNGopenew[.]apptarnt vor Scannern5 · DOWNLOADmacOS + WinMalware-InstallerBesucht ein Scanner…wird ihm eine harmloseAR/VR-Firmenseite gezeigt.Jeder Schritt ist vertrauenswürdiger, als der nächste gefährlich ist
Die Kette borgt sich an jedem Schritt Vertrauen. Eine bezahlte Google-Anzeige verleiht dem Klick Legitimität; der chatgpt.com-Share-Link verleiht der Seite Legitimität; und eine Cloaking-Weiterleitung verleiht automatisierten Scannern ein sauberes Gesundheitszeugnis. Nur das letzte Binary ist offen bösartig — und bis dahin ist der Nutzer an jedem Kontrollpunkt vorbeigeführt worden.

Der Download-Server lügt den Scanner an.

Klicken Sie den Download-Button auf der gefälschten Ausfallseite, und Sie werden von chatgpt.com weg zu openew[.]app geschickt, einer Seite, die als offizielles Download-Portal von OpenAI verkleidet ist. Hier sitzt das zweite Stück Cloaking.

Cloaking bedeutet, verschiedenen Besuchern verschiedene Inhalte zu zeigen. Der Server des Angreifers schaut, wer fragt. Wenn die Anfrage nach einem automatisierten Sicherheits-Scanner riecht — und ein großer Teil der Sicherheit des Internets verlässt sich auf Dienste wie URLScan, die URLs crawlen und sie in einer Sandbox rendern —, liefert der Server etwas Harmloses aus. In diesem Fall wurde Scannern, die die URL besuchten, laut der Forschung eine harmlose Augmented-Reality-/Virtual-Reality-Firmenwebsite gezeigt. Sauber. Nichts zu beanstanden. Wenn die Anfrage stattdessen nach einem echten Menschen riecht, der dem Köder gefolgt ist, liefert der Server die Malware aus.

So lautet das automatisierte Urteil über openew[.]app „gutartig", und das menschliche Urteil — das, auf das es ankommt — bekommt nie eine zweite Meinung. Der Download wird sowohl für macOS als auch für Windows angeboten, denn der Angreifer weiß nicht und kümmert sich nicht darum, auf welchem System Sie sind; er will beide Zielgruppen. (Das Windows-Sample prüft sogar, ob es in einer virtuellen Maschine läuft, bevor es fortfährt — ein gängiger Schachzug, um Analyse-Sandboxes auszuweichen — behalten Sie diesen Gedanken im Kopf.)

Nichts davon ist exotisch. Es ist dieselbe Familie von Methoden wie die Malvertising- und SEO-Poisoning-Ketten, über die wir zuvor geschrieben haben. Was LLMShare einen Beitrag wert macht, ist die Qualität des Vertrauens, das es sich borgt. Dieselben Forscher sagen, dass das Muster nicht auf ChatGPT beschränkt ist: Sie haben gesehen, wie die Teilen-/Render-Funktionen anderer KI-Produkte — Claudes Artifacts, geteilte Grok-Konversationen — in denselben Dienst gepresst wurden. Jedes Produkt, das einem Fremden erlaubt, gerendertes HTML unter der Domain Ihrer Marke zu veröffentlichen, ist, ohne es zu wollen, zum Hosting-Anbieter für jeden geworden, der diese Marke missbrauchen will.

Warum jeder Kontrollpunkt es durchwinkt.

Gehen Sie die Kette zurück und beachten Sie, dass jeder Verteidigungs- instinkt eines vorsichtigen Nutzers durch Design befriedigt wird:

Ist das die echte Seite?

Ja. In der Adressleiste steht chatgpt.com, das Zertifikat ist gültig, die Seite wird von OpenAI ausgeliefert. „Prüfen Sie die URL" — der Rat, den wir alle geben — liefert eine saubere Antwort, weil die URL sauber ist.

Hat ein Scanner den Download-Host markiert?

Nein. Die Weiterleitungs-Domain tarnt sich: Sie zeigt Sicherheits-Crawlern eine harmlose AR/VR-Seite und spart die Malware für menschliche Opfer auf. Reputations-Feeds und „dieser Link wurde geprüft"-Plaketten melden nichts Falsches.

Sieht die Seite nach Phishing aus?

Nein. Sie wurde als originalgetreues HTML/CSS verfasst, um eine OpenAI-Ausfallmeldung nachzuahmen. Es gibt keinen plumpen Tippfehler, kein markenfremdes Logo, kein verräterisches Übersetzungsdeutsch. Sie sieht genau so aus, wie sie vorgibt zu sein.

Ist es ungewöhnlich, eine Desktop-App herunterzuladen?

Nein. Viele echte Dienste drängen Sie, eine native App zu installieren, und eine Website, die unter Last ächzt, ist ein vertrauter, plausibler Grund, eine anzubieten. Die Geschichte ergibt ein stimmiges Ganzes.

Das ist der unangenehme Teil. Der Standardrat — prüfe die URL, vertraue gescannten Links, achte auf schlampiges Phishing, sei misstrauisch gegenüber seltsamen Domains — ist guter Rat, und diese Kampagne segelt schnurstracks durch alles davon hindurch. Wenn das Signal der vertrauenswürdigen Domain selbst der Angriff ist, hört das Signal auf zu helfen. Man kann einem vorsichtigen Menschen nicht sagen, er solle vorsichtiger mit einer Seite sein, die jede Prüfung besteht, die er kennt.

Die interessante Frage ist also nicht „wie hätte der Nutzer es erkennen können". Für die meisten Nutzer, an den meisten Tagen, hätten sie es nicht gekonnt. Die interessante Frage ist: was passiert in dem Moment, in dem das Binary tatsächlich läuft?

Das Ganze passiert in einem einzigen Tab.

Schauen Sie sich die Kette noch einmal an und beachten Sie, wo sie sich abspielt. Die Anzeige öffnet sich im Browser. Die chatgpt.com-Seite rendert im Browser. Die gefälschte Ausfallmeldung ist eine Webseite im Browser. Die Weiterleitung passiert im Browser. Der Download wird vom Browser angestoßen. Der einzige Schritt, der den Browser verlässt, ist der letzte — wenn der heruntergeladene Installer ausgeführt wird und anfängt zu tun, wofür er gebaut wurde, auf dem Computer, mit den Dateien und Berechtigungen des Nutzers.

Dieser letzte Schritt ist das ganze Spiel. Alles davor ist Aufbau. Der Angreifer hat echten Aufwand in das Anzeigenbudget, die überzeugende Seite, die Cloaking-Infrastruktur gesteckt — all das im Dienst dessen, ein einziges Binary auf einer einzigen Maschine zur Ausführung zu bringen. Wenn das Binary irgendwo ausgeführt wird, das nichts von Ihnen enthält, hat der Angreifer all das ausgegeben, um einen leeren Raum zu kompromittieren.

Das ist die Geometrie, die Bromure ändert. In Bromure läuft der Browser nicht im gewöhnlichen Sinne auf Ihrem Computer. Jeder Tab läuft in einer wegwerfbaren Linux-VM — einem versiegelten Gast mit eigenem Dateisystem, gestartet aus einem sauberen Image, der keine Sicht auf Ihre Dateien, Ihren Schlüsselbund, Ihre anderen Tabs oder Ihr lokales Netzwerk hat. Die Webseite, der Renderer, das JavaScript, der Download und der erste Lauf des heruntergeladenen Programms passieren alle in diesem Gast. Wenn Sie das Fenster schließen, werden der Gast und alles darin zerstört.

Herkömmlicher BrowserIHR COMPUTERchatgpt.com-Share-Seite„laden Sie die Desktop-App"INSTALLERläuft als SieDateienLESBARSchlüsselbundERREICHBARBrowserCOOKIESPersistenzLOGIN-ITEMNetzwerkERREICHBAREin Binary, volle Reichweite.BromureIHR COMPUTERWEGWERFBARE VMchatgpt.com-Share-Seite„laden Sie die Desktop-App"INSTALLERläuft im Gastsieht nur den leeren GastEINGESCHLOSSENIhre Dateien + SchlüsselbundunberührtFenster schließenVM gelöscht
Dieselbe Kampagne, dieselbe überzeugende Seite, derselbe heruntergeladene Installer. Links ein herkömmlicher Browser: den Installer auszuführen heißt, ihn auf Ihrer Maschine auszuführen, gegen Ihre Dateien. Rechts Bromure: der Installer läuft in einer wegwerfbaren VM, die nichts von Ihnen enthält, und die VM — Installer inklusive — wird gelöscht, wenn Sie das Fenster schließen.

Beachten Sie, was das Signal der vertrauenswürdigen Domain dem Angreifer hier einbringt: nichts. Die ganze Kampagne ist darauf ausgelegt, die Frage „vertraue ich dieser Seite" zu besiegen. Bromure stellt diese Frage nicht. Es muss nicht wissen, ob chatgpt.com vertrauenswürdig ist, denn es lässt die Inhalte irgendeiner Seite — vertrauenswürdig oder nicht — gar nicht erst über die Gast-VM hinaus. Die Seite könnte die legitimste Seite im Internet sein, und der Einschluss wäre identisch. Vertrauen ist schlicht nicht die Last, die die Architektur trägt.

Dasselbe gilt für den Scanner-Cloaking-Trick. Der Angreifer hat hart daran gearbeitet, openew[.]app für automatisierte Analyse gutartig aussehen zu lassen. Bromure hängt nicht davon ab, dass diese Analyse korrekt ist. Selbst wenn der Download-Host als völlig sauber bewertet und die Datei durchgewinkt wird, landet die Datei in einem wegwerfbaren Gast. Und erinnern Sie sich an das Windows-Sample, das prüft, ob es in einer virtuellen Maschine läuft, bevor es sich entpackt: Dieser Anti-Analyse-Reflex arbeitet jetzt gegen den Angreifer, nicht für ihn — die Malware, die sich weigert, in einer VM zu laufen, weigert sich zu laufen, an dem einen Ort, an dem sie es geschafft hat zu landen.

Was dies nicht löst.

Isolation schließt Ausführung ein. Sie redigiert nicht die Realität. Zwei ehrliche Lücken sind es wert, benannt zu werden.

Erstens hindert Bromure Sie nicht daran, überzeugt zu werden. Wenn die Seite Sie dazu bringt, Ihr echtes OpenAI-Passwort in ein echtes Login-Formular zu tippen, oder eine Datei aus dem Gast heraus auf Ihren Mac zu tragen und sie dort selbst auszuführen, dann ist die Isolation durch Ihre eigenen Hände umgangen worden. Der Schutz besteht darin, dass der Aufbau und der erste Lauf der Malware eingeschlossen sind — nicht darin, dass Social Engineering unmöglich wird. Eine Seite, die so gut im Imitieren ist, ist immer noch eine Seite, der man misstrauen sollte; die Architektur senkt den Einsatz, getäuscht zu werden, sie erhöht nicht Ihre Chancen, den Trick zu erkennen.

Zweitens ist dies grundsätzlich ein über den Browser ausgelieferter Angriff, und genau deshalb ist Einschluss entscheidend. Die ganze Kette — Anzeige, Seite, Weiterleitung, Download, erste Ausführung — lebt im Tab. Es gibt keine separate native App zum Kompromittieren, keinen E-Mail-Client, kein zweites Programm, dem der Nutzer vertraut. Köpfen Sie die Kette an dem Punkt, an dem das Binary läuft, und es bleibt nichts flussabwärts übrig. Wenn der Angriff im Browser beginnt und endet, ist ein Browser, der den Treffer absorbiert, der richtige Ort, um zu stehen.

Der nächste wird auch auf einer Domain liegen, der Sie vertrauen.

LLMShare ist eigentlich keine Geschichte über ChatGPT. Es ist eine Geschichte über eine Technik: Nimm einen Dienst, dem Menschen vertrauen, finde die Ecke darin, die einem Fremden erlaubt, gerendertes HTML unter seinem Namen zu veröffentlichen, und nutze diese Ecke, um den Köder zu hosten. ChatGPT heute; die Forscher sehen Claude und Grok bereits genauso verwendet; morgen wird es das Produkt sein, das sowohl beliebt ist als auch großzügig damit, was es in Ihrem Namen rendert.

Sie gewinnen das nicht, indem Sie besser darin werden, schlechte Domains zu erkennen, denn der ganze Schachzug besteht darin, gute zu verwenden. Sie gewinnen es, indem Sie die Adressleiste für Ihre Sicherheit irrelevant machen — indem Sie die Dinge so anordnen, dass das Schlimmste, was eine Seite tun kann, egal wessen Logo darauf prangt, darin besteht, einen wegwerfbaren Raum zu füllen, den Sie leeren, indem Sie ein Fenster schließen.

Dafür ist Bromure da. Installieren Sie es, machen Sie es zu Ihrem Standard, und lassen Sie das geliehene Vertrauen dem Angreifer nichts einbringen.