Un nou tip de atac cibernetic folosește ChatGPT și Grok pentru a instala malware: cum funcționează metoda ClickFix și de ce devine atât de periculoasă

Un val îngrijorător de atacuri cibernetice schimbă regulile jocului în securitatea digitală: tehnica ClickFix, deja cunoscută pentru utilizarea prompturilor înșelătoare, a evoluat într-o formă mult mai sofisticată. Atacatorii exploatează acum încrederea utilizatorilor în platformele AI – inclusiv ChatGPT și Grok – pentru a livra malware direct pe dispozitivele lor, fără phishing evident, fără site-uri false și fără alerte de securitate.

Potrivit unei investigații recente realizate de cercetătorii Huntress, atacatorii combină metode clasice precum SEO poisoning cu utilizarea legitimă a platformelor AI pentru a insera comenzi malițioase în conversații ce par inofensive. Rezultatul: un utilizator care caută ajutor pentru o problemă banală – de pildă, eliberarea spațiului de stocare pe macOS – ajunge să-și infecteze singur sistemul cu malware.

În cadrul tehnicii ClickFix, atacatorii creează conversații AI aparent legitime folosind ChatGPT sau Grok. Apoi, prin funcția de share a platformei, generează linkuri autentice către aceste conversații, care includ instrucțiuni malițioase camuflate în pași tehnici obișnuiți.

Huntress a descoperit că atacatorii promovează aceste linkuri prin SEO poisoning:

Oana Roman, criticată după ce şi-a cumpărat o geantă de lux. ”Din banii mei, cu munca mea”. Ce i-a deranjat pe internauţi

Cele 5 zodii care trăiesc cea mai intensă săptămână romantică din an, începând cu 15 decembrie. Marea iubire bate la geam

– răspândesc conversațiile în forumuri, site-uri slab moderate, canale Telegram și ferme de conținut;
– manipulează algoritmii motoarelor de căutare pentru ca linkurile să ajungă pe primele pagini Google;
– își asigură astfel credibilitatea, deoarece rezultatele duc către domenii reale ale platformelor AI, nu către site-uri fake.

Utilizatorul deschide linkul și vede o interfață ChatGPT reală, cu o conversație predefinită ce pare să ofere suport tehnic. La prima vedere, instrucțiunile sunt rezonabile, dar printre acestea se află o comandă Terminal care conectează sistemul la un server controlat de atacator.

În exemplul urmărit de Huntress, comanda descărca și instala infostealer-ul AMOS, un malware macOS specializat în furtul de date precum parole, portofele de criptomonede și tokenuri de autentificare.

Totul se întâmplă fără avertizări, fără pop-up-uri suspecte, fără download vizibil. Practic, utilizatorul își infectează singur sistemul, crezând că urmează recomandări de la un asistent AI de încredere.

De ce ClickFix este considerat un „salt evolutiv” în tehnicile de inginerie socială

Atacurile ClickFix tradiționale foloseau ferestre CAPTCHA false pentru a convinge utilizatorii să ruleze comenzi. Noua variantă este mult mai periculoasă, deoarece:

– nu implică site-uri false sau e-mailuri suspecte;
– nu declanșează protecțiile macOS, deoarece utilizatorul execută singur comenzile;
– exploatează reputația marilor platforme AI;
– transformă căutările obișnuite pe internet în capcane potențiale.

Cercetătorii explică faptul că tactica funcționează pentru că atacatorii manipulează „modelul mental al utilizatorului”:

Copierea unei comenzi dintr-o fereastră ChatGPT pare productivă și sigură. Oferă senzația unei soluții rapide. Este exact genul de interacțiune care inspiră încredere — iar atacatorii exploatează tocmai acest reflex.

Spre deosebire de phishing sau downloaduri dubioase, acest atac nu declanșează instinctul de autoprotecție. Este, potrivit experților, una dintre primele metode care reușește să ocolească atât mecanismele de securitate ale sistemului, cât și „mecanismele de securitate umane”.

Cum te poți proteja și de ce experții avertizează că astfel de atacuri vor exploda

Specialiștii Huntress estimează că această tehnică ar putea deveni metoda principală de infectare în următoarele 6–18 luni, în special pentru malware orientat spre furtul de credențiale, portofele crypto și acces persistent la sistem.

Pentru companii, detectarea este complicată deoarece acțiunea de infectare imită comportament legitim al utilizatorului. De aceea, specialiștii recomandă monitorizarea atentă a anomaliilor comportamentale, precum:

– comenzi executate de utilitarul macOS osascript solicitând acces la credentiale;
– fișiere executabile ascunse în directoarele utilizatorilor;
– conexiuni neobișnuite către domenii externe imediat după rularea unui script.

Pentru utilizatorii obișnuiți, regula de bază devine crucială:
nu executa comenzi Terminal din surse neașteptate, chiar dacă par să provină de la un chatbot popular.

Această campanie demonstrează că încrederea necriticată acordată răspunsurilor AI poate deveni o vulnerabilitate majoră. În timp ce platformele AI continuă să crească în popularitate, atacatorii găsesc metode creative de a transforma aceste instrumente în vectori de infectare.

Noua variantă ClickFix marchează un moment de cotitură în securitatea cibernetică: atacurile nu mai încearcă doar să păcălească sistemele, ci urmăresc să păcălească direct utilizatorii prin intermediul unui instrument în care aceștia au o încredere exagerată.

Tendința este clară: odată ce AI devine parte din viața digitală de zi cu zi, cybercriminalii își adaptează tehnicile pentru a exploata tocmai acest lucru.