La plateforme Threat Intelligence de Group-IB a identifié dans les journaux de logiciels malveillants échangés sur les marchés illicites du dark web 101 134 appareils infectés par des « info stealers » et contenant des informations d'identification ChatGPT sauvegardées.
Les logiciels malveillants de type « info stealers » collectent les cookies et informations d'identification enregistrées dans les navigateurs, numéros de cartes bancaires, portefeuilles cryptographiques, historiques de navigation et autres informations récupérées à partir des navigateurs installés sur les ordinateurs infectés, ou provenant de messageries instantanées et d'e-mails.
Group IB note que « les voleurs fonctionnent de manière non sélective » et que ce type de logiciel malveillant vise à infecter le plus grand nombre d'ordinateurs possible par le biais de l'hameçonnage ou d'autres moyens afin de collecter autant de données que possible.
Les « info stealers » sont ainsi devenus « une source majeure de données personnelles compromises », et les journaux contenant des informations compromises récoltées sont activement échangés sur les places de marché du dark web. Sont notamment commercialisées les listes de noms de domaines trouvés dans les journaux ainsi que les informations sur l'adresse IP de l'hôte compromis, ce qui facilite l'accès des attaquants ultérieurs :
« Par défaut, ChatGPT stocke l'historique des requêtes des utilisateurs et des réponses de l'IA. Par conséquent, un accès non autorisé aux comptes ChatGPT peut exposer des informations confidentielles ou sensibles, qui peuvent être exploitées pour des attaques ciblées contre les entreprises et leurs employés. »
41 000 des appareils infectés l'ont été dans les pays d'Asie-Pacifique (dont près de 13 000 en Inde, et plus de 9 000 au Pakistan), 25 000 au Moyen-Orient et en Afrique, et 17 000 en Europe (dont près de 3 000 en France).
Group IB conseille aux utilisateurs de mettre en œuvre l'authentification à deux facteurs pour se prémunir de tout risque de compromission.
