Злоумышленники используют ChatGPT и Claude для доставки вредоносного ПО через доверенные страницы чатботов

В начале 2026 года сообщество специалистов по информационной безопасности столкнулось с новой разновидностью атак, которая эксплуатирует доверие пользователей к легитимным платформам. Злоумышленники начали массово применять функции обмена контентом в AI-чатботах (системах искусственного интеллекта для диалога) - ChatGPT и Claude - для размещения вредоносных страниц прямо на доменах chatgpt.com и claude.ai. Эти страницы выглядят как обычные уведомления о сбоях или руководства по установке, а трафик на них привлекается через вредоносную рекламу (malvertising) и манипуляции с результатами поисковой выдачи (SEO-отравление).

Описание

Проблема усугубляется тем, что домены самих чатботов по умолчанию считаются безопасными всеми системами репутации URL и фильтрации трафика. Жертва не видит никаких предупреждений, пока не перейдёт по ссылке, которая ведёт на поддельную страницу загрузки или содержит команду для терминала. Аналитики компании Push Security обнаружили как минимум две активно действующие кампании, поражающие пользователей macOS и Windows. В основе лежит социальная инженерия, использующая привычку людей следовать инструкциям прямо в окне чата.

Первые варианты атаки были зафиксированы ещё несколько месяцев назад. Злоумышленники создавали в Claude.ai "общие беседы" (shared conversations), стилизованные под официальные руководства от Apple Support. Внутри такого чата жертве предлагали открыть терминал и вставить команду curl, которая загружала и запускала похититель информации (infostealer). Параллельно компания "Лаборатория Касперского" описывала похожую схему с использованием ChatGPT для доставки вредоносного ПО AMOS (Atomic macOS Stealer). В обоих случаях атакующие полагались на то, что пользователь не отличит легитимную команду от вредоносной - ведь "AI-ассистент" выглядел дружелюбным и полезным.

Однако новый вариант, описанный Push Security, принципиально отличается тем, что злоумышленник больше не прячет вредоносный код в тексте диалога. Вместо этого он использует функцию рендеринга кода в ChatGPT: создаёт страницу на subdomain chatgpt.com/s/…, которая визуально полностью имитирует системное уведомление о перегрузке сервера. На странице написано: "Сейчас высокий трафик. Наш сайт временно недоступен из-за большого числа пользователей. Скачайте наше десктопное приложение, чтобы продолжить". Под текстом - крупная кнопка загрузки.

Всё это - не настоящая системная страница, а просто свёрстанный HTML и CSS (язык разметки и каскадные таблицы стилей), который отображается внутри чатбота. Нажатие на кнопку ведёт на домен openew[.]app, где расположена копия официальной страницы загрузки ChatGPT с логотипами OpenAI, кнопками для macOS и Windows, ссылкой на расширение Chrome и разделом для мобильных устройств. При этом скачиваемый исполняемый файл, маскирующийся под "ChatGPT для рабочего стола", уже был обнаружен на VirusTotal (общедоступном сервисе проверки файлов) и признан вредоносным.

Особую тревогу вызывает техника условного рендеринга, которую атакующие применяют для обхода сканеров. Когда специалисты Push Security изучали URL openew[.]app через сервис URLScan, они были перенаправлены на совершенно безобидный сайт нишевой AR/VR-компании, не имеющий никакого отношения к ChatGPT. Но реальный пользователь в обычном браузере видит поддельную страницу загрузки. Такое поведение позволяет долгое время оставаться незамеченными для служб безопасности и систем threat intelligence.

Активно действует и вариант с Claude.ai, где в общих беседах по-прежнему размещают фальшивые руководства под видом техподдержки Apple. Вредоносные команды curl скачивают на машину жертвы дополнительные модули для кражи данных. Push Security отмечает, что обе кампании - и на ChatGPT, и на Claude - одновременно появляются в среде их клиентов. Это говорит о том, что злоумышленники либо координируют действия, либо используют общий набор тактик, экспериментируя с разными платформами и методами социальной инженерии.

Основной канал доставки - поисковые системы. Пользователи вводят запросы вроде "chatgpt", "chatgpt free", "chat gpt", а также распространённые опечатки ("chatgo", "chatgot") и наталкиваются на спонсорскую рекламу, ведущую на страницы чатботов. Такая реклама может быть очень узко нацелена географически или по демографическим признакам, что делает её практически необнаружимой при массовом анализе. Собственные данные Push Security показывают, что четыре из пяти атак типа ClickFix (подмена действий по клику) сейчас доставляются именно через результаты поиска, а не через электронную почту.

Проблема выходит далеко за рамки AI-чатботов. 2026 год уже отмечен систематическим использованием злоумышленниками легитимных платформ в качестве инфраструктуры для атак. Краденые учётные данные AWS позволяют отправлять фишинг через Amazon SES, проходящий все проверки подлинности (SPF, DKIM, DMARC). Вьетнамская операция AccountDumpling использовала Google AppSheet для сбора 30 тысяч учётных данных Facebook*. Мошенники даже эксплуатировали официальную систему уведомлений Microsoft, отправляя фишинговые письма с адреса msonlineservicesteam@microsoftonline.com, который обычно рассылает легитимные коды двухфакторной аутентификации. Для хостинга фишинговых страниц применяются GitHub Pages, Vercel, Azure Blob Storage, Cloudflare Workers и Backblaze B2.

Массовая эксплуатация уязвимости в Ghost CMS позволила разместить вредоносные страницы ClickFix на более чем семисот сайтах, включая субдомены Гарварда, Оксфорда и DuckDuckGo. Microsoft сообщала о кампании, где SEO-отравление комбинировали с манипуляцией рекомендациями AI-чатботов для доставки майнера криптовалют. А поддельные установщики ChatGPT и Claude на GitHub и SourceForge несли в себе бэкдор DinDoor и троян удалённого доступа на Deno.

Все эти инциденты объединяет одно: системы безопасности доверяют легитимным платформам по определению. Списки репутации доменов и категоризации URL помечают chatgpt.com и claude.ai как безопасные, поэтому атака на основе общего контента AI-чатботов проходит первый рубеж защиты без каких-либо сигналов. Новый вариант с поддельной страницей сбоя устраняет даже самый очевидный "красный флаг" - инструкцию по вставке команды в терминал. Пользователь видит простое уведомление о перегрузке и разумное предложение скачать десктопное приложение. Ничто не выглядит подозрительно.

Специалистам по безопасности стоит пересмотреть подход к контролю исходящего трафика и правилам репутации. Доверие к домену не должно автоматически распространяться на любой контент, размещённый на его субстраницах, особенно если он содержит внешние ссылки или предлагает загрузку исполняемых файлов. Пользователям же рекомендуется критически относиться к любым ссылкам на скачивание, даже если они ведут с chatgpt.com, и всегда проверять адресную строку браузера после перехода.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.