Фахівці з кібербезпеки виявили активну шкідливу кампанію, в межах якої використовується підроблений вебсайт для масового зараження користувачів операційних систем Windows та macOS. Звіт про загрозу, опублікований аналітиками Malwarebytes Threat Intel, свідчить, що зловмисники зареєстрували домен openew[.]app, який візуально до найдрібніших деталей копіює офіційний інтерфейс OpenAI, включаючи фірмовий темний дизайн, логотипи та маркетингові матеріали. Організатори кампанії застосували агресивні методи пошукової оптимізації для виведення свого ресурсу на перші сторінки пошукової видачі за запитами щодо завантаження десктопної версії штучного інтелекту. Замість обіцяного інструменту, сервери сайту автоматично визнають операційну систему відвідувача та завантажують індивідуальні шкідливі інструменти, призначені для викрадення конфіденційних даних.

Технічний аналіз показав, що для користувачів Windows завантажується виконуваний файл Chat_GPT.exe, який активує приховані скрипти командного рядка PowerShell для побудови стійкого каналу зв’язку з сервером керування хакерів. У свою чергу, користувачі macOS отримують шкідливий код Odyssey Stealer, який є модифікованою версією відомого інфостілера Atomic Stealer. Цей скрипт запускає складний ланцюжок команд мови програмування AppleScript для непомітної перевірки адміністративного пароля через системні утиліти macOS, а в разі невдачі виводить фальшиве вікно авторизації в стилі операційної системи. Після отримання доступу Odyssey Stealer викрадає і передає збережені паролі браузерів, сесійні файли інтернет-банкінгу, сесії Telegram, а також завантажує з другого сервера модифіковані троянізовані версії криптогаманців Ledger Live, Ledger Wallet та Trezor Suite. Наслідком є втрата контролю над цифровими акаунтами, компрометація корпоративних облікових записів та спустошення криптовалютних активів.