Hàng loạt mã độc đang núp bóng ChatGPT với thủ đoạn tinh vi

ChatGPT đang là chủ đề được bàn tán xôn xao trong giới công nghệ. Tội phạm mạng cũng "dựa hơi" hiện tượng này để gia tăng hoạt động lừa đảo. Mới đây, Meta – tập đoàn mẹ của các mạng xã hội khổng lồ như Facebook, Instagram – vừa chỉ ra thủ đoạn lợi dụng ChatGPT nhằm phát tán mã độc.

Theo công ty mẹ của Facebook, hacker tạo ra hàng loạt phần mềm mã độc dưới danh nghĩa công cụ sử dụng ChatGPT để thu hút sự quan tâm và dụ người dùng tải về. Từ đó, kẻ xấu có thể giành quyền truy cập vào thiết bị, đánh cắp thông tin quan trọng và tiền của người dùng.

Trong báo cáo kết quả nghiên cứu về mối đe dọa, nhóm bảo mật của Meta cho biết đã phát hiện các tiện ích mở rộng trình duyệt và ứng dụng dành cho thiết bị di động, tuyên bố cung cấp tính năng trò chuyện có hỗ trợ AI, giống như khi người dùng truy cập trực tiếp vào trang web chính thức của ChatGPT.

Đáng chú ý, một số tiện ích mở rộng dành cho trình duyệt web, mạo danh ChatGPT đi kèm mã độc đã xuất hiện trên các kho ứng dụng web chính thức. Những kẻ xấu cũng sử dụng quảng cáo tìm kiếm trả tiền để tiếp thị các phần mềm chứa mã độc. "Từ quan điểm của một kẻ xấu, ChatGPT là tiền mã hóa mới", Giám đốc An ninh của Meta, Guy Rosen cho biết.

Tinh vi hơn, một số công cụ độc hại cung cấp tính năng thực tế của ChatGPT ở mức độ hạn chế để tránh mọi nghi ngờ, khiến người dùng Internet bình thường khó phát hiện hơn. Ngoài ra, ChatGPT không phải là sản phẩm AI duy nhất bị tội phạm công nghệ cao lạm dụng. Kẻ xấu cũng nhắm vào Bard, chatbot tương tự do Google cung cấp.

Đến thời điểm hiện tại, ChatGPT được OpenAI cung cấp chính thức bằng hình thức duy nhất thông qua trang web. Họ chưa phát hành bất kỳ phần mềm, ứng dụng dành cho thiết bị di động hoặc tiện ích mở rộng trình duyệt nào.

Báo cáo bảo mật của Meta không phải là báo động đầu tiên đối với việc tội phạm mạng núp bóng ChatGPT để lừa đảo người dùng. Tính từ tháng 3, Meta phát hiện khoảng 10 loại mã độc khác nhau và chặn hơn 1.000 đường link nguy hiểm được quảng cáo là công cụ tích hợp chatbot hỗ trợ trí tuệ nhân tạo. Guy Rosen, Giám đốc bảo mật thông tin Meta, cho biết công ty đang chuẩn bị để sẵn sàng đối phó với hành vi lạm dụng AI mới như ChatGPT.

Cụ thể một tiện ích mở rộng có tên "Quick Access to ChatGPT" ẩn nấp trên Chrome Web Store của Google. Tiện ích mở rộng giả mạo có thể gây ra một số thiệt hại nghiêm trọng như chiếm đoạt tài khoản doanh nghiệp trên Facebook và sử dụng chúng để chạy quảng cáo.

Chuyên gia bảo mật Nati Tal của Guardio Labs công bố phân tích cho thấy có hàng nghìn lượt cài đặt tiện ích mở rộng ChatGPT giả mạo mỗi ngày, giúp kẻ xấu bòn rút tiền bằng cách sử dụng quảng cáo do các tài khoản Facebook bị đánh cắp này đẩy lên.

Hệ sinh thái của Google không phải là nơi duy nhất xuất hiện các trò lừa đảo lợi dụng tên tuổi của ChatGPT. Alex Kleber, một nhà nghiên cứu tại Privacy 1st truy vết trên Mac App Store và phát hiện ra một số lượng đáng báo động các ứng dụng tuyên bố cung cấp tiện ích ChatGPT, với một số chức năng mờ ám như trả phí vĩnh viễn, sao chép mã nguồn và hồ sơ nhà phát triển đáng ngờ.

Bên cạnh đó, các nhà nghiên cứu tại công ty an ninh mạng Check Point cũng cảnh báo tội phạm mạng đã sử dụng ChatGPT để mã hóa phần mềm độc hại, viết email lừa đảo có sức thuyết phục cao để lừa người dùng.

Kẻ ẩn danh trên diễn đàn tin tặc trình bày chi tiết cách chúng sử dụng ChatGPT để mã hóa một dòng phần mềm độc hại, có khả năng tìm các file mục tiêu trên máy tính, nén lại và truyền đến một máy chủ từ xa.

Thật khó để dự đoán tất cả thủ đoạn lạm dụng ChatGPT vào hoạt động phạm tội của tin tặc. Trước mắt, để đảm bảo an toàn, người dùng chỉ nên sử dụng các công cụ do OpenAI cung cấp thông qua trang web chính thức của họ.

ChatGPT được OpenAI giới thiệu từ tháng 11/2022 và nhanh chóng gây sốt với hơn 100 triệu người dùng. AI này hoạt động dựa trên mô hình xử lý ngôn ngữ tự nhiên NLP (Natural Language Processing), được huấn luyện với nguồn dữ liệu lớn trên Internet để trả lời câu hỏi của người dùng. Dù được đón nhận, ChatGPT cũng gây lo ngại khi thường xuyên trả lời sai, hoặc có nguy cơ bị lợi dụng cho mục đích xấu.

An Dương (T/h)