Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Хакеры используют ИИ-сайты для скрытого распространения вредоносного ПО

6
3 мин
Оглавление
Источник: www.zscaler.com
Источник: www.zscaler.com

Хакеры используют популярность ИИ для распространения опасного вредоносного ПО через SEO-оптимизированные сайты

Недавнее исследование от Zscaler ThreatLabZ выявило новую угрозу на стыке искусственного интеллекта и кибербезопасности. Злоумышленники используют популярность ИИ-инструментов, таких как ChatGPT и Luma AI, чтобы распространять вредоносные программы через веб-сайты, маскирующиеся под тематические ресурсы об искусственном интеллекте. Такая тактика заставляет неосторожных пользователей попадать на опасные страницы, подвергая их риску кражи конфиденциальных данных.

Использование «черных» SEO-методов для манипуляции поисковой выдачей

Хакеры применяют методы black hat SEO, что позволяет им повысить рейтинг вредоносных сайтов в поисковых системах. В результате, при поиске информации о популярных ИИ-инструментах пользователи с высокой вероятностью могут перейти на фишинговые или заражённые сайты.

Основные варианты вредоносного ПО

  • Vidar Stealer
  • Lumma Stealer
  • Legion Loader

Эти вредоносные программы предназначены для кражи конфиденциальной информации, включая учетные данные и данные о криптовалюте. Они обладают расширенными возможностями по обходу систем безопасности.

Механизм атаки: от скриптов до доставки полезной нагрузки

При посещении зараженного сайта пользователь сталкивается с JavaScript, который выполняет следующие действия:

  • Сканирует браузер, собирая такие данные, как версия браузера, разрешение окна и файлы cookie;
  • Проверяет наличие блокировщиков рекламы — если обнаружен ad-blocker, процесс перенаправления останавливается;
  • Использует цепочку перенаправлений на основе собранной информации;
  • Применяет кодировку Base64 для сокрытия вредоносных URL;
  • Делает конечную доставку вредоносного ПО менее заметной и более эффективной.

Любопытно, что для размещения своих скриптов злоумышленники используют AWS CloudFront — легитимную сеть доставки контента (CDN), что помогает им маскировать свои операции и усложняет их обнаружение.

Ключевая роль домена gettrunkhomuto.info

В инфраструктуре атаки центральное место занимает домен gettrunkhomuto.info, который служит посредником между браузером пользователя и вредоносным ПО. Этот домен взаимодействует с собранными данными браузера и организует перенаправления на опасные страницы.

Сложные схемы доставки вредоносных файлов

Вредоносное ПО обычно распространяется в виде больших установочных файлов, замаскированных под легальные архивы с паролем. Это позволяет обойти обычные фильтры безопасности.

  • Vidar и Lumma Stealer приходят как паролированные ZIP-архивы с установщиками NSIS, которые вводят пользователя в заблуждение, создавая исполняемые вредоносные файлы.
  • Legion Loader использует более изощренный метод — MSI-файлы в защищенных ZIP-архивах, скрывающие вредоносные компоненты.

В процессе установки Legion Loader задействует:

  • Передачу данных на сервер управления (C2);
  • Использование BAT-файлов для выполнения и извлечения полезной нагрузки;
  • Внедрение вредоносных компонентов в законные системные процессы с помощью техники дополнительной загрузки DLL и блокировки процессов.

Эти передовые методы существенно повышают скрытность вредоносного ПО и затрудняют его обнаружение системами безопасности.

Выводы

Исследование Zscaler ThreatLabZ подтверждает, что киберпреступники активно используют тренды в области искусственного интеллекта для совершенствования своих атак. Методы black hat SEO в сочетании с продвинутыми техниками укрытия вредоносного ПО создают риск для пользователей, особенно тех, кто ищет информацию об ИИ в интернете.

Эксперты рекомендуют:

  • Особо внимательно относиться к переходам по незнакомым ссылкам, даже если они кажутся связанными с популярными ИИ-инструментами;
  • Использовать современные системы защиты с функциями эвристического анализа и выявления сложных угроз;
  • Регулярно обновлять браузеры и антивирусное ПО;
  • Включать блокировщики рекламы и расширения для предотвращения перенаправлений.

Безопасность в интернете зависит от осведомленности пользователей и постоянного совершенствования технологий защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Хакеры используют ИИ-сайты для скрытого распространения вредоносного ПО".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Взгляните на эти темы
Гаджеты и электроника
Игровые консоли
Найти тему
Колонки и аудиосистемы
VR-очки
Планшеты
Фитнес-трекеры
Язык программирования Golang
Защиты от киберугроз
Разработки в Android
Кибербезопасность
Смартфоны
Умные часы
Камеры и фототехника
Графические планшеты
Ноутбуки
Наушники
Электронные книги
Язык программирования PHP
Операционная система iOS
CRM-системы (Система управления взаимоотношениями с клиентом)
Кибербезопасность
25,6 тыс интересуются