Cyberthreat.id - Lebih dari 101.100 kredensial akun OpenAI ChatGPT yang dikompromikan telah menemukan jalan mereka di pasar web gelap ilegal antara Juni 2022 dan Mei 2023, dengan India saja yang bertanggung jawab atas 12.632 kredensial yang dicuri. Indonesia termasuk salah satu negara dengan kredensial ChatGPT yang paling banyak disusupi.

Kredensial ditemukan di dalam log pencuri informasi yang tersedia untuk dijual di kejahatan dunia maya bawah tanah, kata Group-IB dalam sebuah laporan yang dibagikan dengan The Hacker News.

"Jumlah log yang tersedia berisi akun ChatGPT yang disusupi mencapai puncak 26.802 pada Mei 2023," kata perusahaan yang berkantor pusat di Singapura itu. "Wilayah Asia-Pasifik telah mengalami konsentrasi tertinggi kredensial ChatGPT yang ditawarkan untuk dijual selama setahun terakhir."

Negara lain dengan kredensial ChatGPT yang paling banyak disusupi termasuk Pakistan, Brasil, Vietnam, Mesir, AS, Prancis, Maroko, Indonesia, dan Bangladesh.

Analisis lebih lanjut mengungkapkan bahwa sebagian besar log yang berisi akun ChatGPT telah dilanggar oleh pencuri info Raccoon yang terkenal (78.348), diikuti oleh Vidar (12.984) dan RedLine (6.773).

Pencuri informasi telah menjadi populer di kalangan penjahat dunia maya karena kemampuannya membajak kata sandi, cookie, kartu kredit, dan informasi lain dari browser, dan ekstensi dompet mata uang kripto.

"Log berisi informasi yang disusupi yang diambil oleh pencuri info diperdagangkan secara aktif di pasar web gelap," kata Group-IB.

"Informasi tambahan tentang log yang tersedia di pasar tersebut mencakup daftar domain yang ditemukan di log serta informasi tentang alamat IP dari host yang disusupi."

Biasanya ditawarkan berdasarkan model penetapan harga berbasis langganan, mereka tidak hanya menurunkan standar kejahatan dunia maya, tetapi juga berfungsi sebagai saluran untuk meluncurkan serangan lanjutan menggunakan kredensial yang tersedot.

"Banyak perusahaan mengintegrasikan ChatGPT ke dalam aliran operasional mereka," kata Dmitry Shestakov, kepala intelijen ancaman di Group-IB.

"Karyawan memasukkan korespondensi rahasia atau menggunakan bot untuk mengoptimalkan kode kepemilikan. Mengingat bahwa konfigurasi standar ChatGPT mempertahankan semua percakapan, ini dapat secara tidak sengaja menawarkan kumpulan kecerdasan sensitif kepada pelaku ancaman jika mereka memperoleh kredensial akun."

Untuk mengurangi risiko tersebut, disarankan agar pengguna mengikuti praktik kebersihan kata sandi yang sesuai dan mengamankan akun mereka dengan autentikasi dua faktor (2FA) untuk mencegah serangan pengambilalihan akun.

Perkembangan ini terjadi di tengah kampanye malware yang sedang berlangsung yang memanfaatkan halaman OnlyFans palsu dan umpan konten dewasa untuk mengirimkan trojan akses jarak jauh dan pencuri informasi yang disebut DCRat (atau DarkCrystal RAT), versi modifikasi dari AsyncRAT.

"Dalam kasus yang diamati, para korban dibujuk untuk mengunduh file ZIP yang berisi pemuat VBScript yang dijalankan secara manual," kata peneliti eSentire, mencatat aktivitas tersebut telah berlangsung sejak Januari 2023.

"Konvensi penamaan file menunjukkan bahwa para korban dibujuk menggunakan foto eksplisit atau konten OnlyFans untuk berbagai aktris film dewasa."

Ini juga mengikuti penemuan varian VBScript baru dari malware yang disebut GuLoader (alias CloudEyE) yang menggunakan umpan bertema pajak untuk meluncurkan skrip PowerShell yang mampu mengambil dan menyuntikkan Remcos RAT ke dalam proses Windows yang sah.

"GuLoader adalah pemuat malware yang sangat mengelak yang biasa digunakan untuk mengirim pencuri info dan Remote Administration Tools (RATs)," kata perusahaan keamanan siber Kanada dalam laporan yang diterbitkan awal bulan ini.

"GuLoader memanfaatkan skrip yang diprakarsai pengguna atau file pintasan untuk mengeksekusi beberapa putaran perintah yang sangat disamarkan dan kode shell terenkripsi. Hasilnya adalah muatan malware penghuni memori yang beroperasi di dalam proses Windows yang sah."[]