Как кампания LLMShare превратила функцию «Поделиться» в ChatGPT в оружие киберпреступников

Реальная инновация здесь заключается не в самом вредоносном ПО, а в механизме его доставки. Размещая первоначальную фишинговую страницу на легитимном URL-адресе chatgpt.com, злоумышленники обходят как человеческую бдительность, так и автоматические фильтры репутации URL-адресов. Пользователь, проверяющий адресную строку, видит chatgpt.com и знакомый значок замка, что создает мощный эффект доверия через прокси и делает последующее перенаправление на вредоносный домен гораздо более эффективным .

Эта кампания — лишь часть гораздо более масштабной проблемы

Кампания LLMShare возникла не на пустом месте. Это последний виток эскалации в тенденции, которую исследователи безопасности отслеживают с конца 2025 года, когда злоумышленники впервые обнаружили, что можно злоупотреблять функциями обмена ИИ-платформ в качестве векторов заражения.

В декабре 2025 года исследователи «Лаборатории Касперского» раскрыли кампанию, которая использовала функцию «Поделиться» в ChatGPT для распространения инфостилера AMOS среди пользователей macOS. Злоумышленники создавали профессионально выглядящие руководства по установке фальшивого «браузера Atlas» и публиковали их как общедоступные диалоги ChatGPT. Ничего не подозревающие пользователи, следовавшие этим руководствам, выполняли команды в терминале, которые устанавливали вредоносное ПО . К началу 2026 года аналогичные техники распространились на другие ИИ-платформы, включая DeepSeek, при этом злоумышленники нацеливались на пользователей, ищущих повседневные советы, например, как очистить дисковое пространство на Mac .

Эта тенденция выходит далеко за рамки злоупотребления публичными чатами. В период с июля 2025 по февраль 2026 года исследователи задокументировали первые образцы вредоносного ПО, использующего коммерческую инфраструктуру ИИ-ботов в качестве основного канала для управления и контроля (C&C) . Как минимум 16 вредоносных расширений для Chrome, маскирующихся под инструменты для повышения продуктивности с ChatGPT, были пойманы на краже токенов для входа вместо выполнения обещанных функций . Группа анализа угроз Google выявила семейства вредоносных программ, такие как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели для динамического изменения поведения во время выполнения — то, что Google называет «ИИ точно в срок в вредоносном ПО» .

В этот процесс вовлечены даже группы, связанные с государствами. OpenAI раскрыла, что ею были пресечены скоординированные операции групп из России, Северной Кореи и Китая, пытавшихся использовать ChatGPT для разработки вредоносного ПО, фишинговых кампаний и операций влияния . В отчете CrowdStrike Threat Hunting Report за 2025 год отмечается, что злоумышленники теперь «используют ИИ как оружие в промышленных масштабах» для ускорения атак, кражи учетных данных и развертывания вредоносных программ .

Вредоносные программы, стоящие за атакой

Для пользователей Windows, попавшихся в кампании LLMShare, полезной нагрузкой является обычный похититель учетных данных, предназначенный для извлечения сохраненных в браузере паролей, cookie-файлов и токенов аутентификации. Для пользователей macOS угроза сложнее.

Odyssey Stealer представляет собой эволюционную ветвь инфостилеров для macOS с запутанной родословной. Он возник как стилер Poseidon — форк (ответвление) Atomic Stealer (AMOS), доминировавшего в 2024 и начале 2025 года — и позже был переименован и модернизирован злоумышленником, известным как «Rodrigo» или «Rodrigo4», который ранее работал над кодовой базой AMOS . Переименование сопровождалось значительными техническими улучшениями, направленными на обход защитных механизмов Apple, включая запутанные AppleScript-полезные нагрузки и механизмы закрепления, позволяющие вредоносной программе переживать перезагрузки системы .

Как платформа «Вредонос как услуга» (Malware-as-a-Service), Odyssey работает по партнерской модели, при которой основные разработчики поддерживают вредоносное ПО и инфраструктуру управления, а независимые операторы арендуют доступ в обмен на часть прибыли . Программа нацелена на широкий спектр криптовалютного ПО — исследователи Censys выявили, что она атакует 203 расширения криптокошельков для браузеров, а также десктопные криптовалютные приложения .

Данные обнаружения угроз компании Red Canary показывают, что Atomic Stealer оставался самым популярным стилером для macOS на протяжении всего 2025 года, а Odyssey Stealer достиг аналогичной распространенности после ребрендинга Poseidon и перезапуска . Оба семейства неизменно входят в число главных угроз для пользователей устройств Apple .

Почему от этих атак трудно защищаться

Подход, основанный на доверии через прокси, используемый в LLMShare, представляет собой фундаментальную проблему для традиционных средств защиты. Первоначальная целевая страница размещена на домене OpenAI, который одновременно легитимен и широко распространен. Системы фильтрации URL-адресов, полагающиеся исключительно на репутацию домена, увидят chatgpt.com и разрешат соединение. Даже более сложные инструменты, проверяющие содержимое страницы, могут увидеть то, что выглядит как брендированное уведомление OpenAI о неполадках, и не пометить его как подозрительное .

В атаке не используются фишинговые письма, вредоносные вложения или очевидная социальная инженерия — она полностью полагается на рекламную платформу Google, чтобы доставлять жертв на страницу, которая кажется официальной страницей OpenAI. К тому моменту, когда происходит вредоносное перенаправление, пользователь уже находится в состоянии доверия к домену, который он посещает. Исследователи Huntress, изучавшие подобные кампании, отметили, что эти атаки успешны всего при четырех повседневных действиях пользователя: поиск, клик, копирование и вставка .

Для специалистов по безопасности защита требует многоуровневого подхода. Критически важными мерами являются мониторинг подозрительной рекламы Google, выдающей себя за популярные сервисы, блокировка известных вредоносных доменов для перенаправления, таких как openew[.]app, и — что самое важное — обучение пользователей проверять фактическое содержание публичных диалогов ChatGPT, а не просто доверять домену . На поставщиков самих платформ оказывается давление с целью внедрения защитных механизмов, предотвращающих злоупотребление функциями общего доступа, но не нарушающих их легитимное использование .

Кампания LLMShare представляет собой переломный момент в тактике фишинга. Превращая доверие пользователей к крупным ИИ-платформам в оружие, злоумышленники нашли механизм доставки, который эффективнее традиционных фишинговых писем и сложнее обнаруживается обычными средствами защиты. По мере расширения ИИ-платформ и усложнения их функций общего доступа, поверхность для атак будет только расти.