Des cybercriminels exploitent désormais les liens de partage de ChatGPT pour propager des logiciels malveillants

Baptisée "LLMShare" par l'entreprise de sécurité Push Security, cette campagne s'appuie sur la confiance accordée aux domaines officiels pour contourner les protections informatiques standard.

Le mécanisme de l'attaque « LLMShare »

Le processus repose sur le détournement de l'option permettant de partager une conversation ChatGPT via un lien public. Les attaquants parviennent à afficher une mise en page HTML personnalisée directement sur le domaine légitime d'OpenAI. L'utilisateur se retrouve face à un faux message de maintenance indiquant, par exemple, que le service subit une forte affluence. Pour contourner ce prétendu problème, la page invite l'internaute à télécharger l'application de bureau officielle.

Pour attirer les victimes, les opérateurs de cette campagne achètent des annonces publicitaires parrainées sur Google. Ils ciblent des mots-clés fréquents tels que « ChatGPT », « ChatGPT desktop app » ou « ChatGPT download ».

Lorsqu'un utilisateur clique sur l'un de ces liens promotionnels, il est redirigé vers une URL authentique du type [chatgpt.com/s/](https://chatgpt.com/s/)[identifiant]. Le domaine appartenant à OpenAI, les pare-feux et les filtres Web ne signalent aucune anomalie.

Distribution de logiciels malveillants sur Windows et macOS

Si l'utilisateur clique sur le bouton de téléchargement présent sur la fausse page de maintenance, il est redirigé vers un domaine externe nommé openew[.]app, conçu pour usurper l'identité de l'application de bureau d'OpenAI. C'est à partir de cette plateforme que sont distribuées les charges utiles visant les systèmes d'exploitation Windows et macOS.

Le site de téléchargement intègre des mécanismes de détection des environnements d'analyse automatisés (sandboxes). Lorsqu'il détecte un système de test, il affiche une page web inoffensive pour masquer ses activités réelles.

Des tests menés par le média spécialisé BleepingComputer sur la plateforme Any.Run ont révélé que la version Windows du fichier exécutable effectue plusieurs commandes pour vérifier si elle s'exécute sur une machine physique ou virtuelle, en recherchant des clés de registre liées à des logiciels de sécurité. Sur macOS, le dispositif déploie le logiciel espion « Odyssey Stealer », conçu pour dérober des données sensibles.

L'IA comme levier d'optimisation pour les cyberattaquants

Cette campagne illustre une tendance plus large où les outils d'intelligence artificielle sont détournés à des fins malveillantes. Récemment, le groupe de cybercriminels GreyVibe a ciblé les infrastructures ukrainiennes en s'appuyant sur l'IA pour compenser certaines lacunes techniques, rédiger des scripts d'offuscation de code et concevoir des leurres d'ingénierie sociale réalistes.

Parmi les méthodes attribuées à GreyVibe figurent :

• PhantomMail : l'envoi de courriels d'hameçonnage imitant des agences gouvernementales ukrainiennes.
  
  
• PhantomClick : l'affichage de faux messages CAPTCHA incitant à l'exécution de commandes PowerShell malveillantes.
  
  
• PrincessClub : l'hébergement de portails falsifiés pour adultes contenant des logiciels espions destinés aux appareils Android.