Seu Link do ChatGPT Pode Ser Uma Armadilha: Como a Campanha LLMShare Transformou Compartilhamentos em Armas

A verdadeira inovação aqui não é o malware em si — é o mecanismo de entrega. Ao hospedar a página de phishing inicial em uma URL legítima do chatgpt.com, os atacantes contornam tanto a suspeita humana quanto os filtros automáticos de reputação de URL. Um usuário que verifica a barra de endereço vê chatgpt.com e o familiar ícone de cadeado, criando um poderoso efeito de "confiança por procuração" que torna o redirecionamento para o domínio malicioso muito mais eficaz .

Esta Campanha Faz Parte de um Problema Muito Maior

A campanha LLMShare não surgiu isoladamente. É a escalada mais recente de um padrão que pesquisadores de segurança têm rastreado desde o final de 2025, quando os atacantes descobriram que podiam abusar dos recursos de compartilhamento de plataformas de IA como vetores de infecção.

Em dezembro de 2025, pesquisadores da Kaspersky descobriram uma campanha que usava o recurso de compartilhamento do ChatGPT para distribuir o infostealer AMOS para usuários de macOS. Os atacantes criavam guias de instalação com aparência profissional para um falso 'navegador Atlas' e os publicavam como conversas públicas do ChatGPT. Usuários desavisados que seguiam os guias acabavam executando comandos no terminal que instalavam o malware . No início de 2026, técnicas semelhantes já haviam se espalhado para outras plataformas de IA, incluindo o DeepSeek, com atacantes mirando usuários que buscavam tópicos comuns de solução de problemas, como limpar espaço em disco no Mac .

Esta tendência vai muito além do abuso de chats compartilhados. Pesquisadores de segurança documentaram as primeiras famílias de malware em ambiente real usando infraestrutura de chatbot de IA comercial como canal primário de comando e controle entre julho de 2025 e fevereiro de 2026 . Pelo menos 16 extensões maliciosas do Chrome, disfarçadas de ferramentas de produtividade para o ChatGPT, foram flagradas roubando tokens de login em vez de entregar as funcionalidades prometidas . O Grupo de Inteligência de Ameaças do Google identificou famílias de malware como PROMPTFLUX e PROMPTSTEAL, que usam grandes modelos de linguagem para alterar dinamicamente o comportamento durante a execução — o que o Google chama de 'IA just-in-time em malware' .

Até mesmo atores ligados a Estados-nação estão envolvidos. A OpenAI revelou que interrompeu operações coordenadas de grupos da Rússia, Coreia do Norte e China que tentavam usar a assistência do ChatGPT para desenvolvimento de malware, campanhas de phishing e operações de influência . O Relatório de Caça a Ameaças de 2025 da CrowdStrike observou que os adversários estão agora 'armando a IA em escala' para acelerar ataques, roubar credenciais e implantar malware .

As Famílias de Malware por Trás do Ataque

Para usuários de Windows pegos na campanha LLMShare, a carga maliciosa é um ladrão de credenciais convencional, projetado para extrair senhas, cookies e tokens de autenticação armazenados no navegador. Para usuários de macOS, a ameaça é mais complexa.

Odyssey Stealer representa um ramo evolutivo dos ladrões de informações para macOS com uma linhagem emaranhada. Ele se originou como Poseidon Stealer — uma bifurcação (fork) do Atomic Stealer (AMOS) que foi proeminente durante 2024 e início de 2025 — e mais tarde foi renomeado e atualizado por um agente de ameaça conhecido como 'Rodrigo' ou 'Rodrigo4', que trabalhou anteriormente na base de código do AMOS . A reformulação da marca veio com atualizações técnicas significativas destinadas a contornar as defesas de segurança da Apple, incluindo payloads ofuscados em AppleScript e mecanismos de persistência que permitem que o malware sobreviva a reinicializações do sistema .

Como uma plataforma de Malware-como-Serviço, o Odyssey opera em um modelo de afiliados, onde os desenvolvedores principais mantêm o malware e a infraestrutura de comando e controle, enquanto operadores independentes alugam o acesso em troca de uma parte dos lucros . O malware tem como alvo específico uma ampla gama de softwares de criptomoedas — pesquisadores da Censys identificaram que ele visa 203 extensões de carteira de navegador, juntamente com aplicativos de desktop para criptomoedas .

Dados de detecção de ameaças da Red Canary mostram que o Atomic Stealer permaneceu como o ladrão para macOS mais popular ao longo de 2025, com o Odyssey Stealer alcançando prevalência semelhante após sua reformulação e relançamento a partir do Poseidon . Ambas as famílias figuram consistentemente entre as principais ameaças aos usuários da Apple .

Por Que Defender-se Desses Ataques é Tão Difícil

A abordagem de "confiança por procuração" que impulsiona o LLMShare representa um desafio fundamental para as defesas de segurança tradicionais. A página de destino inicial está hospedada em um domínio da OpenAI, que é legítimo e amplamente confiável. Os sistemas de filtragem de URL que dependem apenas da reputação do domínio verão chatgpt.com e permitirão a conexão. Mesmo ferramentas mais sofisticadas que inspecionam o conteúdo da página podem ver o que parece ser um aviso de serviço com a marca OpenAI e não sinalizá-lo como suspeito .

O ataque não usa phishing por e-mail, anexos maliciosos ou engenharia social óbvia — ele depende inteiramente da plataforma de anúncios do Google para entregar as vítimas ao que parece ser uma página oficial da OpenAI. No momento em que o redirecionamento malicioso ocorre, o usuário já está operando a partir de uma posição de confiança no domínio que está visitando. Pesquisadores da Huntress, que estudaram campanhas semelhantes, observaram que esses ataques são bem-sucedidos com apenas quatro ações cotidianas do usuário: pesquisar, clicar, copiar e colar .

Para as equipes de segurança, a defesa requer uma abordagem em camadas. Monitorar anúncios suspeitos do Google que se passam por serviços populares, bloquear domínios de redirecionamento maliciosos conhecidos como openew[.]app e — mais importante — treinar os usuários para verificar o conteúdo real das conversas compartilhadas do ChatGPT, em vez de confiar apenas no domínio, são contramedidas essenciais . Os próprios provedores de plataforma enfrentam pressão para implementar salvaguardas que impeçam o abuso dos recursos de compartilhamento sem prejudicar os casos de uso legítimos .

A campanha LLMShare representa um ponto de inflexão nas táticas de phishing. Ao transformar a confiança que os usuários depositam nas principais plataformas de IA em uma arma, os atacantes encontraram um mecanismo de entrega que é mais eficaz do que e-mails de phishing tradicionais e mais difícil de ser detectado pelas defesas convencionais. À medida que as plataformas de IA se expandem e seus recursos de compartilhamento se tornam mais sofisticados, a superfície de ataque só tende a crescer.