5 月初，eSentire 威胁响应小组（TRU）发现了一起进行中的 BatLoader 活动，该活动利用谷歌搜索广告来投递冒充 ChatGPT 和 Midjourney 的虚假网页：

(相关资料图)

ChatGPT 是一款人工智能聊天机器人，于 2022 年 11 月发布，自那以后就大受欢迎。

Midjourney 是一项生成式人工智能服务，通过该服务，用户可以提交文本提示来生成图像。

这两种 AI 服务都极受欢迎，但缺少第一方独立应用程序（即用户通过其 Web 界面与 ChatGPT 进行交互，而 Midjourney 使用 Discord）。

威胁分子利用了这一空档，企图将寻找 AI 应用程序的网民吸引到推广宣传虚假应用程序的冒充网页。

在最新的活动中，BatLoader 使用 MSIX Windows 应用程序安装程序文件用 Redline 信息窃取器感染设备。这不是 BatLoader 第一次针对搜索 AI 工具的用户了。在 2023 年 2 月，TRU 发现了一系列新注册的 BatLoader 域名，其中包括 chatgpt-t [ . ] com。

概述 ChatGPT 冒充广告引起的 Redline 感染

初始下载

在这个例子中，感染可以追溯到谷歌搜索 "chatbpt"，这将人引到托管在 hxxps://pcmartusa [ . ] com/gpt/ 上的 ChatGPT 冒充下载页面：

图 1. ChatGPT 冒充页面。

下载链接指向 advert-job [ . ] ru，然后指向代表最终攻击载荷的 job-lionserver [ . ] site。job-lionserver [ . ] site 之前被称为是 BatLoader 攻击载荷网站。

图 2. 追根溯源后发现，HTTP 事务指向 job-lionserver [ . ] site 上的最终下载。

Chat-GPT-x64.msix

Chat-GPT-x64.msix（md5hash：86a9728fd66d70f0ce8ef945726c2b77）是一种用于安装应用程序的 Windows 应用程序包格式。

图 3. Chat-GPT-x64.msix 文件属性。

Windows 要求组成 MSIX 应用程序的所有文件都使用一个通用签名进行签名。该包由 ASHANA GLOBAL LTD 数字签名：

图 4. Chat-GPT-x64.msix 签名细节。

仔细检查该包的内容，我们可以看到安装过程中使用的各项资产：

图 5. MSIX 包中的应用程序资产。

查看 AppXManifest 文件，我们可以看到该包由一个说俄语的人使用带有专业许可证的高级安装程序（Advanced Installer）版本 20.2 创建而成

图 6. MSIX 文件属性。图 7. MSIX 文件属性和元数据。

在高级安装程序中打开包，我们可以看到该应用程序将启动一个可执行文件（ChatGPT.exe）和一个 PowerShell 脚本（Chat.ps1）。

图 8. Chat-GPT-x64.msix 起始点和权限。图 9. 安装过程中执行的 Chat-GPT-x64.msix PowerShell 指令

安装程序还将使用 ChatGPT 徽标，针对 2018 年 10 月更新 -1809 和 2022 年 10 月更新 - 22H2 之间的 Windows 桌面版本。

点击安装程序文件将启动 Windows 应用程序安装程序向导：

图 10. Windows 10 应用程序安装程序向导。该应用程序由 ASHANA GLOBAL LTD. 签名。

文件签名对于 MSIX 包而言至关重要，安装程序不允许你在没有可信证书签名的情况下执行下一步（Windows 10 要求所有应用程序都使用有效的代码签名证书进行签名）。

图 11. 若没有有效的签名，Chat-GPT-x64.msix 安装将无法进行下去。

在安装过程中，Chat.ps1 和 ChatGPT.exe 在 aistubx64.exe 的上下文中执行。

图 12. Process Hacker 输出显示安装过程中 PowerShell 的执行行为。

Chat.ps1 是一个基本的 PowerShell 下载载体。在这种情况下，它下载 Redline 信息窃取器，并将其从 adv-pardorudy [ . ] ru 下载到内存中。脚本还执行对 C2 提出的两个请求：

Start.php：记录感染的开始时间以及受害者的 IP 地址。

Install.php：记录攻击载荷在 adv-pardorudy [ . ] ru 上的成功安装、安装时间以及受害者的 IP 地址。

攻击者执行这些操作是为了便于跟踪统计信息，从而使他们能够轻松识别成功感染的受害者，并围绕特定的活动或主题跟踪度量指标。

图 13. Chat.ps1 使用三个 web 请求来表示感染开始、攻击载荷检索和 Redline 的成功安装。

这个 Redline 样本（md5hash 7716F2344BCEBD4B040077FC00FDB543）经配置后，使用 Bot ID"ChatGPT_Mid" 连接到 IP 185.161.248 [ . ] 81，这个 Bot ID 暗指这起活动中使用的两个诱饵（ChatGPT 和 MidJourney）。

图 14. Redline 文件属性。

仔细检查 ChatGPT.exe，TRU 发现该可执行文件使用 Microsoft Edge WebView2，在安装后的弹出窗口中加载 https://chat.openai.com/。

图 15. 进程树显示 ChatGPT.exe 在精简的浏览器中加载实际的 ChatGPT 网页。

其主要功能是转移用户的注意力，确保他们安装了一个有效的应用程序。结果是弹出的窗口含有嵌入在基本浏览器窗口中的实际 ChatGPT 网页。这个可执行文件的其他功能目前不得而知。

图 16. 安装后的 Chatgpt.exe 窗口。https://chat.openai.com/ 使用 Microsoft Edge WebView2 来加以显示。

Midjourney 冒充广告引起的 Redline 感染

在 2023 年 5 月的另一个案例中，TRU 观察到类似的感染阴谋，企图推广宣传 Midjourney 冒充页面。这导致用户下载 Midjourney-x64.msix，这是由 ASHANA GLOBAL LTD. 签名的 Windows 应用程序包。

图 17. Midjourne-x64.msix 安装。

在这个案例中，安装程序执行一个经过混淆处理的 PowerShell 脚本（Chat-Ready.ps1），该脚本最终与图 13 中所示的脚本相同，只是使用了不同的 C2 域。

图 18. Midjourney-x64.msix PowerShell 执行。图 19. 安装后的 midjourney.exe。在精简版浏览器窗口中加载 https://www.midjourney.com/。

我们做了什么？

TRU 针对全球客户的环境进行了积极主动的威胁搜索，以搜索已识别的应用程序包。

我们部署了新的检测内容来识别 MSIX 应用程序包滥用活动。

我们的 24/7 全天候 SOC 网络分析师团队提醒受影响的客户，并提供了补救指导和支持。

你能从中学到什么？

生成式 AI 技术和聊天机器人在 2023 年大受欢迎。遗憾的是，当系统管理员想方设法控制对这些平台的访问时，用户可能会另辟蹊径以访问它们。

威胁分子一直热衷于利用这些大受欢迎的工具，承诺无限制地访问。

我们的遥测数据显示，滥用谷歌搜索广告的现象在 2022 年第四季度和 2023 年初达到了顶峰。成功率已有所下降，这表明谷歌已经对滥用其广告服务的行为进行了打压。然而，最近这起活动表明，恶意广告仍然可以避开审核员的视线，向受害者投递恶意软件。

该活动与之前发现的 BatLoader 活动有几个相似之处：

1. 使用谷歌搜索广告冒充主要的品牌和服务。

2. 使用高级安装程序创建安装包。

3. 攻击载荷站点 job-lionserver [ . ] site 以前归因于 BatLoader。

4. 窃取信息的恶意软件攻击载荷。

我们威胁响应小组（TRU）团队的建议：

提高对伪装成合法应用程序的恶意软件的意识，并在贵公司的网络钓鱼和安全意识培训（PSAT）计划中加入相关示例，以教育员工如何保护自己免受类似的网络威胁。

○切记，一项有效的 PSAT 计划强调通过提高风险意识来确保网络弹性，而不是试图把每个人都变成安全专家。

保护端点免受恶意软件侵害。

○确保反病毒特征是最新的。

○使用下一代反病毒软件（NGAV）或端点检测和响应（EDR）产品来检测和遏制威胁。

Windows Defender 应用程序控制提供了管理打包应用程序（MSIX）的选项。详见 https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/manage-packaged-apps-with-windows-defender-application-control。