恶意谷歌搜索广告的生成人工智能服务，如OpenAI ChatGPT和中途正被用来引导用户到粗略的网站，作为BATLOADER运动的一部分，旨在提供红线窃听器恶意软件。

“这两种人工智能服务都非常流行，但缺乏第三方独立应用程序(即用户通过自己的网络界面与chatgpt进行界面，而中途使用不和谐)，”eSvery在一项分析中表示。

“这一真空已经被威胁行为者所利用，他们试图驱使人工智能应用程序搜索者去冒充宣传假应用程序的网页。”

BATLOADER是通过驱动下载传播的一种加载器恶意软件，用户在搜索引擎上搜索某些关键字时会显示虚假广告，当点击这些广告时，会将它们重定向到托管恶意软件的流氓登陆页面。

安装程序文件(每个eSity)使用一个可执行文件(ChatGPT.exe或midjar ney.exe)和一个PowerShell脚本(Chat.ps1或chat-Ready.ps1)来从远程服务器下载和加载红线Stealer。

安装完成后，二进制文件将使用MicrosoftEdgeWebView 2在弹出窗口中加载chat.openai[.]com或www.midway[.]com–合法的ChatGPT和中途URL–以免引发任何危险信号。

对手使用ChatGPT和中途主题诱饵为恶意广告提供服务，并最终放弃红线盗贼恶意软件，上周趋势微也强调了这一点。

这不是BATLOADER背后的操作者第一次利用人工智能的狂热来分发恶意软件。2023年3月，eSull详细介绍了利用ChatGPT诱饵部署Vidar Stealer和Ursnif的类似攻击集。

这家网络安全公司进一步指出，谷歌搜索广告的滥用程度已经从2023年初的峰值有所下降，这表明这家科技巨头正在采取积极措施，遏制谷歌的利用。

这一发展与网络钓鱼和诈骗活动的更广泛浪潮相一致，其中威胁者正试图利用这些人工智能工具的激增来分发恶意软件和其他虚假应用程序。

安全厂商Sophos在一项相关的研究中，在Google Play和Apple App Store中概述了一组与Chat GPT相关的羊毛软件应用程序——统称为FleeceGPT——强迫用户注册不需要的订阅。

Sophos的研究人员Jagadeesh Chandraiah和Sean Gallagher说：“因为羊毛软件应用程序的设计停留在苹果和谷歌服务条款的边缘，不访问私人信息或试图规避平台安全，他们很少在审查过程中被拒绝，并被允许进入应用程序商店。”

最近几周，Meta和Palo Alto Networks Unit 42都警告说，模仿ChatGPT服务的欺诈活动越来越多，以获取用户的信用卡详细信息，实施信用卡欺诈，并通过模仿聊天机器人网络浏览器扩展窃取受害者的Facebook账户详细信息。

从2022年11月到2023年4月初，42号部门表示，他们发现与ChatGPT相关的域名的月注册量增加了910%。

几周前，Securonix发现了一个名为OCX#Harvester的网络钓鱼活动，该活动在2022年12月至2023年3月期间针对加密货币部门使用More_eggs（又名Golden Chickens），一个JavaScript下载器，用于提供额外的有效载荷。

今年1月，e Entire追踪到了恶意软件即服务（MaaS）的主要运营商之一的身份，此人位于加拿大蒙特利尔。与该组织有关的第二个威胁行动者已被确定为罗马尼亚国民，化名杰克。