Delte AI-lenker blir ny vei inn for skadevare

Angripere har funnet en ny inngang til bedriftenes maskiner: delte samtaler og artefakter fra AI-tjenester som allerede er godkjent, brukt og stolt på.

Push Security kaller teknikken LLMShare. Poenget er enkelt og ubehagelig. Angriperen lager en delt ChatGPT- eller Claude-side som ser ut som en legitim installasjonsguide, et driftsvarsel eller en teknisk feilmelding. Trafikken kjøpes eller lokkes inn via annonser og søk. Brukeren lander ikke først på et åpenbart mistenkelig domene, men på chatgpt.com eller claude.ai. Det er nettopp derfor angrepet biter.

I den nyeste varianten Push Security beskriver, brukes ChatGPTs delings- og visningsfunksjoner til å vise en falsk driftsmelding. Meldingen hevder at webversjonen ikke er tilgjengelig og ber brukeren laste ned skrivebordsappen. Knappen sender videre til en side som etterligner ChatGPTs offisielle nedlastingsside, med valg for macOS og Windows. Ifølge Push bruker infrastrukturen også betinget visning: ekte brukere ser en falsk nedlastingsside, mens automatiserte skannere kan få en ufarlig side.

BleepingComputer omtaler den samme kampanjen og skriver at Windows- og macOS-nedlastingene installerer skadevare. Mediet testet Windows-varianten i Any.Run og fant at den kjører kommandoer for å avgjøre om maskinen er en ekte klient eller et virtuelt analysemiljø. Det er et kjent grep for å forsinke oppdagelse.

Dette er ikke en vanlig phishingvariant med et nytt domene og dårlig grammatikk. Det er misbruk av tilliten rundt AI-plattformene. Når landingssiden ligger på et domene sikkerhetsverktøy og brukere allerede stoler på, blir tradisjonell URL-reputasjon et svakt første forsvar.

Hvorfor dette treffer CISO-bordet

Mange virksomheter har de siste to årene åpnet for ChatGPT, Claude, Gemini og andre AI-verktøy fordi produktivitetsgevinsten er reell. De samme virksomhetene har ofte styrt risikoen med SSO, datatapsregler, blokkerte opplastinger og leverandørvurderinger. LLMShare viser at bruksflaten er bredere. Delingsfunksjoner og renderede AI-sider kan bli landingssider for sosial manipulering, ikke bare kanaler for å dele ufarlig innhold.

Risikoen er særlig høy fordi angrepet passer inn i arbeidshverdagen. En utvikler søker etter en AI-klient. En prosjektleder klikker på en delt samtale fra et forum. En ansatt følger en installasjonsguide som ser ut til å ligge hos leverandøren. Når instruksen kommer fra en kjent AI-side, synker den menneskelige skepsisen.

For norske virksomheter handler dette om mer enn brukeropplæring. AI-verktøy er i ferd med å bli en del av standard arbeidsflate. Da må sikkerhetsmodellen behandle delte AI-sider som aktivt innhold, ikke statiske lenker. Det gjelder spesielt for virksomheter som allerede har tillatt AI-tjenester i nettleseren uten å ha like god kontroll på hva sidene faktisk renderer etter innlogging, annonseklikk eller omdirigering.

Hva som bør endres nå

Det første tiltaket er å slutte å anta at et kjent domene er en trygg handling. Chatgpt.com og claude.ai kan være legitime domener, men innholdet på en delt side kan fortsatt være laget av en angriper. Sikkerhetsteam må skille mellom leverandørdomene, innholdstype og brukerhandling. En delt samtale som ber ansatte laste ned programvare eller lime inn terminalkommandoer bør behandles som høyrisiko.

Det andre tiltaket er å flytte mer kontroll til nettleser- og endepunktlaget. URL-filtrering alene ser ikke nok. Teamet bør kunne se hvordan brukeren kom til siden, hva siden viser etter rendering, hvilke filer den forsøker å hente, og om den instruerer brukeren til å kjøre kommandoer. Push Security bruker nettopp nettleserkontekst som del av deteksjonen. Det er ikke tilfeldig. Angrepet skjer i nettleseren før klassisk EDR nødvendigvis ser noe interessant.

Det tredje tiltaket er policy for AI-nedlastinger og installasjonsguider. Ansatte bør ikke installere ChatGPT-, Claude- eller andre AI-klienter fra annonser, delte samtaler eller uoffisielle guider. Nedlasting bør gå via administrert programvarekatalog, MDM eller verifiserte leverandørsider. For utviklermiljøer bør terminalkommandoer fra delte AI-sider være eksplisitt forbudt, med mindre de er gjennomgått i vanlig kode- eller sikkerhetsløp.

Det fjerde tiltaket er å innføre AI-spesifikke hendelsesregler. Varsler om malvertising, ClickFix-lignende instruksjoner, nedlasting av ukjente AI-klienter og kommandokjøring etter besøk på delte AI-sider bør kobles. Hver enkelt hendelse kan se lavrisiko ut. Samlet er mønsteret tydeligere.

Lederpoenget

AI-plattformene er ikke bare apper lenger. De er distribusjonsflater. De kan vise kode, renderede sider, installasjonsinstrukser og nedlastingsflyt. Det gir produktivitet, men også en ny klasse angrep der angriperen låner troverdigheten til leverandøren.

CIO og CISO bør derfor ta LLMShare som et signal om modenhet, ikke panikk. Spørsmålet er ikke om ChatGPT eller Claude skal blokkeres. Spørsmålet er om virksomheten har kontroll på hva ansatte faktisk gjør inne i godkjente AI-domener.

Hvis svaret er nei, er tiltaket konkret: begrens programvarenedlasting fra AI-sider, overvåk delte AI-lenker med høyere mistanke, lær ansatte at kjente domener fortsatt kan vise fiendtlig innhold, og legg AI-verktøy inn i samme kontrollregime som andre forretningskritiske SaaS-flater.

Dette blir viktigere når agenter får mer tilgang til filer, nettleser og interne systemer. En falsk AI-installasjon i dag er ille nok. En falsk agent- eller connector-guide i morgen kan få langt større konsekvens.

Kilder og medier

Primærkilde: Push Security, LLMShare: using shared chatbot pages to distribute malware, https://pushsecurity.com/blog/llmshare-malvertising-campaign

Bekreftende kilde: BleepingComputer, ChatGPT share links abused to host fake outage pages to deliver malware, https://www.bleepingcomputer.com/news/security/chatgpt-share-links-abused-to-host-fake-outage-pages-to-deliver-malware/

Kildekreditering: Push Security og BleepingComputer.

Thumbnail: OpenAI Image 2 / hogby.ai