مهاجمان سایبری در یک حمله جدید که با نام LLMShare شناسایی شده، از لینکهای اشتراکگذاری چتجیپیتی (ChatGPT) برای فریب کاربران و توزیع بدافزار سوءاستفاده میکنند. این مهاجمان با نمایش صفحات جعلی اختلال سرویس (Outage) از طریق لینکهای اشتراکگذاری چتجیپیتی، کاربران را به دانلود یک فایل مخرب با عنوان «نسخه دسکتاپ» ترغیب میکنند.
کمپین LLMShare و نقش لینکهای اشتراکگذاری چتجیپیتی
طبق گزارش شرکت Push Security، کمپین LLMShare از طریق تبلیغات گوگل (Google Ads) کاربرانی را هدف قرار میدهد که در گوگل بهدنبال دانلود چتجیپیتی یا نسخه دسکتاپ آن هستند. کاربر پس از کلیک روی آگهی، به یک صفحه اشتراکی مخرب (malicious shared page) هدایت میشود که روی دامنه رسمی chatgpt.com میزبانی شده است. استفاده از دامنه معتبر chatgpt.com به این زنجیره حمله ظاهری قابلاعتماد میدهد و آن را به ابزاری مؤثر برای فریب کاربران تبدیل میکند.
نقش لینکهای اشتراکگذاری چتجیپیتی در نمایش صفحه جعلی
در این مرحله، کاربرانی که وارد صفحه میشوند بهجای محتوای معمولی با پیامی مواجه میشوند که وانمود میکند سرویس وب چتجیپیتی به دلیل ترافیک بالا از دسترس خارج شده است. این پیام از طریق لینکهای اشتراکگذاری چتجیپیتی نمایش داده میشود و از کاربر میخواهد نسخه دسکتاپ را دانلود کند.
در پیام جعلی آمده است:
«در حال حاضر با ترافیک بالا مواجه هستیم. دسترسی به وبسایت موقتاً امکانپذیر نیست. برای ادامه، اپلیکیشن دسکتاپ را دانلود کنید.»
طبق گزارش Push Security، وجود گزینههایی مانند نمایش کد (Show code) و بازسازی با چتجیپیتی (Remix with ChatGPT) نشان میدهد این محتوای جعلی با استفاده از HTML و CSS سفارشی و از طریق یک پرامپت در چتجیپیتی تولید شده است.
دانلود بدافزار از طریق پورتال جعلی OpenAI
اگر کاربر روی لینک دانلود کلیک کند، به سایتی با آدرس openew[.]app منتقل میشود که خود را بهعنوان پورتال رسمی دانلود اپلیکیشن OpenAI معرفی میکند. در این صفحه، نسخههایی برای ویندوز و مکاواس ارائه میشود که در عمل بدافزار را روی سیستم قربانی نصب میکنند. در این مرحله، لینکهای اشتراکگذاری چتجیپیتی نقش اولیه در هدایت قربانی به زنجیره حمله را ایفا کردهاند. هرچند هنوز نوع دقیق کد مخرب(payload) مشخص نیست، اما محققان اشاره میکنند که در کمپینهای مشابه معمولاً بدافزارهای رباینده اطلاعات (infostealer) توزیع شدهاند.
استفاده از تکنیک Cloaking و دور زدن تحلیل امنیتی
مهاجمان برای گمراه کردن ابزارهای امنیتی از تکنیک مخفیسازی محتوا (cloaking) استفاده میکنند؛ به این صورت که هنگام اسکن سایت توسط سرویسهایی مانند URLScan، بهجای محتوای مخرب، یک وبسایت بیخطر AR/VR نمایش داده میشود تا ماهیت اصلی حمله پنهان بماند.
در این بخش از زنجیره حمله نیز لینکهای اشتراکگذاری چتجیپیتی بهعنوان نقطه ورود اولیه استفاده شدهاند و همین موضوع شناسایی واقعی زیرساخت را دشوارتر میکند.
عملکرد نسخه ویندوز
آزمایشها روی نسخه ویندوز در محیط Any.Run نشان داده است که فایل اجرایی چند دستور را برای تشخیص واقعی بودن سیستم اجرا میکند. هدف این عملکرد، شناسایی ماشین مجازی(virtual machine) و فرار از تحلیل در محیط سندباکس (sandbox) است؛ روشی که معمولاً در بدافزارهای پیشرفته برای جلوگیری از بررسی امنیتی مشاهده میشود.
سوءاستفاده گسترده از قابلیتهای اشتراکگذاری در پلتفرمهای هوش مصنوعی
همچنین شرکت Push Security اعلام کرده است که مهاجمان از قابلیت آرتیفکتهای Claude در پلتفرم Anthropic نیز برای میزبانی سناریوهای فریبنده مبتنی بر ClickFix استفاده کردهاند؛ تکنیکی که کاربران را به اجرای دستورات مخرب ترغیب میکند.
این روند نشان میدهد لینکهای اشتراکگذاری چتجیپیتی بخشی از یک الگوی گستردهتر در سوءاستفاده از قابلیتهای اشتراکگذاری در پلتفرمهای هوش مصنوعی هستند.
اوایل سال 2026 نیز مهاجمان با استفاده از تبلیغات گوگل، کاربران Claude را به گفتگوهای اشتراکی آلوده هدایت کردند. در کمپینهای دیگر نیز مکالمات اشتراکی چتجیپیتی و Grok برای اجرای حملات ClickFix مورد استفاده قرار گرفتهاند.
