Badacze z Push Security odkryli kampanię LLMShare, w której cyberprzestępcy wykorzystują udostępniane linki ChatGPT na domenie chatgpt.com do dystrybucji złośliwego oprogramowania. Atak łączy płatne reklamy Google, legalną domenę OpenAI i zewnętrzną stronę openew[.]app, która serwuje instalatory dla Windows i macOS, w tym infostealera Odyssey Stealer. To szczególnie niebezpieczne dla osób szukających „aplikacji komputerowej ChatGPT” w wyszukiwarce i ufających, że linki na oficjalnej domenie zawsze są bezpieczne.
- ChatGPT jako przynęta – na czym polega kampania LLMShare
- Jak działa fałszywa strona na domenie ChatGPT
- Zewnętrzna domena openewapp i payload dla Windows i macOS
- Dlaczego firewalle nie blokują linków z ChatGPT
- Jak bezpiecznie szukać aplikacji ChatGPT
- Co zrobić, jeśli pobrałeś program z openewapp
- Podsumowanie
ChatGPT jako przynęta – na czym polega kampania LLMShare
Kampania LLMShare została opisana przez firmę Push Security jako przykład, jak ekosystem dużych modeli językowych może zostać wykorzystany do ataków bezpośrednio na użytkowników końcowych. Atakujący kupują sponsorowane reklamy Google na popularne hasła, takie jak „ChatGPT”, „ChatGPT desktop app” czy „pobierz ChatGPT”. Dzięki temu ofiara nie musi klikać w podejrzane linki z e‑maila – po prostu wybiera reklamę z wyników wyszukiwania, która wygląda jak legalne odwołanie do ChatGPT.
Kluczowe jest wykorzystanie prawdziwej domeny chatgpt.com – reklamy prowadzą do adresów w formacie chatgpt.com/s/[identyfikator], które normalnie służą do udostępniania rozmów w ChatGPT. To od razu obniża czujność użytkownika i systemów bezpieczeństwa w firmach, bo domena należy do OpenAI i zazwyczaj jest dodana do listy zaufanych.
Jak działa fałszywa strona na domenie ChatGPT
W przekierowanym linku napastnicy wstrzykują niestandardowy kod HTML, który nie pokazuje normalnej transkrypcji czatu, tylko specjalnie przygotowaną stronę. Typowy scenariusz wygląda tak: użytkownik widzi komunikat o rzekomej „konserwacji” czy „zbyt dużym ruchu” w ChatGPT oraz sugestię, aby „na czas problemów” zainstalować aplikację komputerową albo „alternatywny klient”.
To właśnie ten komunikat ma skłonić ofiarę do kliknięcia przycisku pobierania i przejścia dalej. Badacze z Push Security podkreślają, że cały ten interfejs jest renderowany bezpośrednio na legalnej domenie OpenAI, co drastycznie utrudnia filtrowanie takich zdarzeń za pomocą zapór sieciowych i korporacyjnych systemów bezpieczeństwa. Podobny schemat widzieliśmy już przy innych atakach, gdy malware hostowano w obrębie zaufanych domen lub przejętych oficjalnych serwisów.
Zewnętrzna domena openew[.]app i payload dla Windows i macOS
Kliknięcie w przycisk „pobierz” z fałszywego komunikatu na ChatGPT nie pobiera programu bezpośrednio z chatgpt.com, lecz przekierowuje użytkownika na zewnętrzną domenę openew[.]app. Ta strona podszywa się pod oficjalną aplikację desktopową OpenAI i oferuje instalatory dopasowane do systemu ofiary – odpowiednio dla Windows lub macOS.
Schemat jest przemyślany także pod kątem analizy bezpieczeństwa: landing page potrafi wykrywać, czy uruchomiono go w piaskownicy (sandbox) lub w środowisku analitycznym, takim jak Any.Run. W takim przypadku binarka sprawdza np. klucze rejestru związane z oprogramowaniem bezpieczeństwa, a następnie wyświetla nieszkodliwą wersję HTML, ukrywając swój prawdziwy charakter. Na zwykłej maszynie użytkownika payload może być już pełnoprawnym malware.
Na macOS jednym z ładunków jest Odyssey Stealer – wyspecjalizowany infostealer, którego celem jest kradzież zapisanych haseł, plików cookies, portfeli kryptowalut i innych wrażliwych danych użytkownika. To typowy przykład ataku, w którym gangi cyberprzestępcze starają się z jednego zainfekowanego komputera wyciągnąć maksymalnie dużo informacji do późniejszej monetyzacji.
Dlaczego firewalle nie blokują linków z ChatGPT
Z punktu widzenia zespołów bezpieczeństwa w firmach sytuacja jest wyjątkowo niekomfortowa. Technicznie nie ma tu „podejrzanej” domeny, którą można by łatwo zablokować – cały początkowy ruch odbywa się w obrębie chatgpt.com, czyli domeny należącej do OpenAI, powszechnie używanej w codziennej pracy.
Większość organizacji, które korzystają z ChatGPT czy innych usług OpenAI, dodaje chatgpt.com do whitelisty, aby uniknąć blokowania legalnych zapytań i utrudniania pracy użytkownikom. To sprawia, że linki z kampanii LLMShare przechodzą przez zapory sieciowe i filtry bez wywołania alarmu – ruch wygląda jak normalna sesja z usługą LLM.
Push Security zwraca uwagę na sam mechanizm udostępniania rozmów: funkcja share pozwala renderować niestandardowy HTML w obrębie oficjalnej domeny, zamiast restrykcyjnie ograniczać treść do neutralnego, „oczyszczonego” formatu. W raporcie badacze sugerują, że tego typu funkcja w serwisie o znaczeniu korporacyjnym powinna być znacznie silniej ograniczona lub wręcz pozbawiona możliwości wstrzykiwania własnego HTML.
Jak bezpiecznie szukać aplikacji ChatGPT
Najprostsza ochrona zaczyna się od zachowania podstawowej higieny podczas pobierania oprogramowania. Eksperci zalecają, aby ignorować sponsorowane reklamy Google, gdy szukasz popularnych aplikacji – niezależnie, czy jest to ChatGPT, przeglądarka, czy komunikator.
Bezpieczniejszy sposób:
- zawsze wpisuj adres openai.com ręcznie w pasku przeglądarki, zamiast klikać w pierwszy wynik w Google
- w razie wątpliwości weryfikuj informacje w Centrum pomocy OpenAI (help.openai.com), zwłaszcza jeśli chodzi o dostępność aplikacji desktopowej
- w firmie rozważ wdrożenie rozwiązań typu EDR oraz dokładniejszej inspekcji treści, a nie wyłącznie domen
Dobrym nawykiem jest też traktowanie wszystkich „darmowych aplikacji ChatGPT na PC” z zewnętrznych stron jako domyślnie podejrzanych, dopóki nie zweryfikujesz ich pochodzenia.
Co zrobić, jeśli pobrałeś program z openew[.]app
Jeśli użytkownik dał się nabrać i zainstalował program z domeny openew[.]app, konieczne jest potraktowanie sytuacji jak klasyczne naruszenie bezpieczeństwa. Zalecenia są proste, ale wymagają zdecydowanego działania.
Rekomendowane kroki:
- natychmiast odłącz komputer od sieci, aby uniemożliwić komunikację malware z serwerami dowodzenia
- wykonaj pełne skanowanie systemu za pomocą narzędzi bezpieczeństwa, np. wbudowanego Microsoft Defender w Windows lub renomowanych skanerów bezpieczeństwa
- z innego, niezainfekowanego urządzenia zmień hasła do najważniejszych usług (poczta, bankowość, krypto, menedżer haseł)
- obserwuj logowania i transakcje pod kątem nietypowej aktywności przez kolejne dni i tygodnie
W przypadku firm warto dodatkowo przeprowadzić analizę logów sieciowych i ewentualnie wdrożyć dodatkowe reguły w systemach bezpieczeństwa, aby wychwycić podobne kampanie w przyszłości.
Podsumowanie
Kampania LLMShare pokazuje, że nawet domena tak rozpoznawalna jak chatgpt.com może zostać użyta jako element łańcucha ataku, jeśli mechanizmy udostępniania treści nie są odpowiednio ograniczone. Atak łączy sponsorowane reklamy Google, legalną infrastrukturę OpenAI i zewnętrzną stronę openew[.]app, na której serwowane są złośliwe instalatory dla Windows i macOS, w tym infostealer Odyssey Stealer.
Z perspektywy zwykłego użytkownika najważniejsze jest, aby nie ufać ślepo sponsorowanym reklamom i zawsze wchodzić na ChatGPT czy inne usługi AI przez ręcznie wpisany adres lub zaufane zakładki. Dla firm to sygnał, że ochrona nie może opierać się wyłącznie na filtrowaniu domen – potrzebne są mechanizmy analizy treści i zachowania oraz jasne procedury reagowania na incydenty związane z AI. W praktyce lepiej poświęcić kilka sekund na sprawdzenie, czy jesteś na prawdziwej stronie OpenAI, niż potem godzinami walczyć z konsekwencjami infekcji i wycieku haseł.