O Bing Chat, mecanismo de busca assistido por IA da Microsoft, impulsionado pela tecnologia de ponta GPT-4 da OpenAI foi lançado em fevereiro de 2023. Cibercriminosos já estão utilizando o serviço para prática de golpes. Eles têm injetado anúncios maliciosos no Bing Chat!
Anúncios maliciosos no Bing Chat
O Bing Chat representa uma abordagem única para pesquisas online, combinando texto e imagens para oferecer uma experiência diferenciada ao usuário. Seis meses após o seu lançamento, a Microsoft comemorou uma conquista notável: mais de um bilhão de bate-papos realizados por meio da plataforma. A incorporação de anúncios nas conversas do Bing Chat pode ocorrer de diversas maneiras.
Um dos métodos de inserção de anúncios maliciosos, envolve a exibição de um anúncio quando um usuário passa o cursor sobre um link, com o anúncio aparecendo antes do resultado da pesquisa orgânica.
Por exemplo, em um cenário em que um usuário deseja baixar um programa chamado “Advanced IP Scanner”, comumente usado por administradores de rede. Quando o usuário passa o mouse sobre a primeira frase de sua consulta, uma caixa de diálogo aparece, exibindo um anúncio ao lado do site oficial do software:
Os usuários que se deparam com este anúncio têm a opção de visitar o anúncio ou o link oficial. No entanto, o anúncio posicionado de forma proeminente tem maior probabilidade de atrair cliques. Embora um pequeno rótulo “Anúncio” acompanhe este link, ele pode ser facilmente esquecido, levando os usuários a considerá-lo um resultado de pesquisa regular.
A evolução da pesquisa e a persistência de anúncios maliciosos
Os agentes de ameaças continuam a explorar anúncios de pesquisa como forma de redirecionar os usuários para sites mal-intencionados que hospedam malware. Embora o Bing Chat apresente uma experiência de pesquisa única, ele ainda veicula determinados anúncios semelhantes aos encontrados durante as consultas convencionais do Bing.
Neste caso específico, atores mal-intencionados comprometeram a conta de anúncios de uma empresa australiana legítima, criando dois anúncios maliciosos, um direcionado a administradores de rede (Advanced IP Scanner) e outro direcionado a profissionais jurídicos (gerente jurídico MyCase), diz o relatório da Malwarebytes.
Com páginas de destino convincentes, as vítimas podem facilmente ser vítimas de download de malware sem suspeitar de crime. Assim, é essencial que os utilizadores tenham cautela ao navegar nos websites e utilizem várias ferramentas de segurança para melhorar a sua proteção.
Este incidente de segurança foi relatado à Microsoft e a vários outros anúncios maliciosos relacionados, em um esforço contínuo para proteger os usuários online.