Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры используют ИИ-сайты для скрытого распространения вредоносного ПО

6
3 мин
Недавнее исследование от Zscaler ThreatLabZ выявило новую угрозу на стыке искусственного интеллекта и кибербезопасности. Злоумышленники используют популярность ИИ-инструментов, таких как ChatGPT и Luma AI, чтобы распространять вредоносные программы через веб-сайты, маскирующиеся под тематические ресурсы об искусственном интеллекте. Такая тактика заставляет неосторожных пользователей попадать на опасные страницы, подвергая их риску кражи конфиденциальных данных. Хакеры применяют методы black hat SEO, что позволяет им повысить рейтинг вредоносных сайтов в поисковых системах. В результате, при поиске информации о популярных ИИ-инструментах пользователи с высокой вероятностью могут перейти на фишинговые или заражённые сайты. Эти вредоносные программы предназначены для кражи конфиденциальной информации, включая учетные данные и данные о криптовалюте. Они обладают расширенными возможностями по обходу систем безопасности. При посещении зараженного сайта пользователь сталкивается с JavaScript,
Оглавление
Источник: www.zscaler.com
Источник: www.zscaler.com

Хакеры используют популярность ИИ для распространения опасного вредоносного ПО через SEO-оптимизированные сайты

Недавнее исследование от Zscaler ThreatLabZ выявило новую угрозу на стыке искусственного интеллекта и кибербезопасности. Злоумышленники используют популярность ИИ-инструментов, таких как ChatGPT и Luma AI, чтобы распространять вредоносные программы через веб-сайты, маскирующиеся под тематические ресурсы об искусственном интеллекте. Такая тактика заставляет неосторожных пользователей попадать на опасные страницы, подвергая их риску кражи конфиденциальных данных.

Использование «черных» SEO-методов для манипуляции поисковой выдачей

Хакеры применяют методы black hat SEO, что позволяет им повысить рейтинг вредоносных сайтов в поисковых системах. В результате, при поиске информации о популярных ИИ-инструментах пользователи с высокой вероятностью могут перейти на фишинговые или заражённые сайты.

Основные варианты вредоносного ПО

  • Vidar Stealer
  • Lumma Stealer
  • Legion Loader

Эти вредоносные программы предназначены для кражи конфиденциальной информации, включая учетные данные и данные о криптовалюте. Они обладают расширенными возможностями по обходу систем безопасности.

Механизм атаки: от скриптов до доставки полезной нагрузки

При посещении зараженного сайта пользователь сталкивается с JavaScript, который выполняет следующие действия:

  • Сканирует браузер, собирая такие данные, как версия браузера, разрешение окна и файлы cookie;
  • Проверяет наличие блокировщиков рекламы — если обнаружен ad-blocker, процесс перенаправления останавливается;
  • Использует цепочку перенаправлений на основе собранной информации;
  • Применяет кодировку Base64 для сокрытия вредоносных URL;
  • Делает конечную доставку вредоносного ПО менее заметной и более эффективной.

Любопытно, что для размещения своих скриптов злоумышленники используют AWS CloudFront — легитимную сеть доставки контента (CDN), что помогает им маскировать свои операции и усложняет их обнаружение.

Ключевая роль домена gettrunkhomuto.info

В инфраструктуре атаки центральное место занимает домен gettrunkhomuto.info, который служит посредником между браузером пользователя и вредоносным ПО. Этот домен взаимодействует с собранными данными браузера и организует перенаправления на опасные страницы.

Сложные схемы доставки вредоносных файлов

Вредоносное ПО обычно распространяется в виде больших установочных файлов, замаскированных под легальные архивы с паролем. Это позволяет обойти обычные фильтры безопасности.

  • Vidar и Lumma Stealer приходят как паролированные ZIP-архивы с установщиками NSIS, которые вводят пользователя в заблуждение, создавая исполняемые вредоносные файлы.
  • Legion Loader использует более изощренный метод — MSI-файлы в защищенных ZIP-архивах, скрывающие вредоносные компоненты.

В процессе установки Legion Loader задействует:

  • Передачу данных на сервер управления (C2);
  • Использование BAT-файлов для выполнения и извлечения полезной нагрузки;
  • Внедрение вредоносных компонентов в законные системные процессы с помощью техники дополнительной загрузки DLL и блокировки процессов.

Эти передовые методы существенно повышают скрытность вредоносного ПО и затрудняют его обнаружение системами безопасности.

Выводы

Исследование Zscaler ThreatLabZ подтверждает, что киберпреступники активно используют тренды в области искусственного интеллекта для совершенствования своих атак. Методы black hat SEO в сочетании с продвинутыми техниками укрытия вредоносного ПО создают риск для пользователей, особенно тех, кто ищет информацию об ИИ в интернете.

Эксперты рекомендуют:

  • Особо внимательно относиться к переходам по незнакомым ссылкам, даже если они кажутся связанными с популярными ИИ-инструментами;
  • Использовать современные системы защиты с функциями эвристического анализа и выявления сложных угроз;
  • Регулярно обновлять браузеры и антивирусное ПО;
  • Включать блокировщики рекламы и расширения для предотвращения перенаправлений.

Безопасность в интернете зависит от осведомленности пользователей и постоянного совершенствования технологий защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Хакеры используют ИИ-сайты для скрытого распространения вредоносного ПО".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются