Вы хотели скачать модного ИИ-помощника для кода или автоматизации отчетов, а установили шпиона, который теперь копирует все пароли и переписки. Знакомая ситуация? Мошенники массово подделывают сайты популярных нейросетей и продвигают их в поиске так, что они оказываются выше официальных. Разбираемся, как не принести в дом и на работу цифрового диверсанта и что делать, если это уже случилось.
Что происходит?
Спрос на инструменты с искусственным интеллектом сейчас огромен. Каждый хочет попробовать нового ИИ-агента для написания кода, автоматизации задач или просто модного чат-бота. И этим ажиотажем активно пользуются киберпреступники. Они создают сайты-клоны, которые один в один копируют официальную документацию, и через рекламные объявления в поисковиках заманивают пользователей на свои страницы. Вместо полезной программы человек скачивает стилер — вирус, который вытягивает все данные из браузера, криптокошельков и рабочих папок.
Особенно опасна эта схема для сотрудников компаний. Многие организации пока официально не закупают доступ к таким ИИ-инструментам, поэтому специалисты ищут их сами. И первым делом идут в поисковик, где натыкаются на объявления мошенников. В зоне риска — любой пользователь Windows или macOS, который хочет получить доступ к современным технологиям.
В этой статье мы расскажем, как мошенники маскируют вирусы под установку нейросетей, как распознать подделку за 30 секунд и по какой инструкции спасать компьютер, если заразный код уже запущен.
Как именно мошенники маскируют вирусы под установку нейросетей
Схема обмана гениальна в своей простоте и использует сразу два слабых места: доверие к поисковой выдаче и техническую неопытность пользователей, которые привыкли копировать команды из инструкций, не глядя.
Шаг первый: реклама там, где вы ищете правду
Всё начинается с обычного поискового запроса. Пользователь вводит в поисковую систему что-то вроде «ИИ-агент для кода скачать» или «новая нейросеть для работы». В верхней части выдачи, над обычными сайтами, поисковик показывает платные рекламные объявления.
Злоумышленники покупают такую рекламу на ключевые слова. Их объявление выглядит максимально официально — название программы, призыв скачать, иногда даже логотип. Поскольку это реклама, она попадает в топ выдачи раньше, чем настоящий сайт разработчика. Пользователь доверяет поисковику и кликает на первую же ссылку.
Шаг второй: идеальная копия официального сайта
Перейдя по ссылке, жертва попадает на сайт, который невозможно отличить от настоящего. Мошенники копируют дизайн, шрифты, картинки и даже текст официальной документации. Часто такие сайты размещают на легитимных онлайн-платформах, чтобы антивирусы и защитные системы посчитали их безопасными.
Пользователь видит знакомую инструкцию по установке. Там написано то же самое, что и в оригинале: «Скопируйте эту команду и вставьте в терминал (или в командную строку), чтобы установить приложение».
Шаг третий: подмена команды установки
В этом и заключается главный трюк. В оригинальной инструкции команда скачивает и запускает установщик программы с серверов разработчика. В поддельной инструкции — команда скачивает и запускает вредоносную программу.
На macOS в команде используется системная утилита curl. Вместо установки полезной программы она загружает на компьютер инфостилер AMOS. На Windows используется другая системная утилита — mshta.exe. Она устанавливает инфостилер Amatera. Пользователь просто копирует команду, как его просят, вставляет её в окно терминала, нажимает Enter и вводит свой пароль (так как установка требует прав администратора). Всё. Вирус попал в систему.
Чем это опасно для вас и вашей компании
Эти вредоносные программы — не просто трояны, которые показывают рекламу. Это стилеры. Они работают тихо и быстро. Они сканируют компьютер и собирают:
- Все сохраненные пароли и логины из браузеров.
- Данные банковских карт, которые вы вводили на сайтах.
- Файлы криптокошельков и ключи доступа к ним.
- Сессионные cookie-файлы (чтобы злоумышленник мог войти в ваш аккаунт без пароля).
- Документы из папки пользователя, которые могут содержать коммерческую тайну или исходный код проектов.
После сбора вся эта информация отправляется на сервер мошенников. Вскоре после этого ваши аккаунты начинают жить своей жизнью, а с криптокошелька могут исчезнуть все средства.
Что делать прямо сейчас: инструкция по проверке и очистке
Если вы недавно скачивали какую-то программу с ИИ и подозреваете неладное (или просто хотите проверить систему), действуйте по этому плану.
Срочно отключите компьютер от интернета. Если вы только что запустили подозрительную команду и поняли, что что-то не так, первым делом выдерните кабель Ethernet или отключите Wi-Fi. Это может прервать связь вируса с сервером и предотвратить отправку собранных данных, пока вы их чистите.
Смените все пароли, но с другого устройства. Не с зараженного компьютера, а с телефона или планшета (если вы уверены, что они чисты). Начните с главной почты, затем — банковские приложения, соцсети и рабочие аккаунты. Обязательно включите двухфакторную аутентификацию везде, где это возможно.
Проверьте компьютер антивирусом. Загрузите компьютер в безопасном режиме и запустите полное сканирование системы любой актуальной антивирусной программой из официального источника. Удалите всё, что она найдет.
Проверьте список недавно установленных программ. Зайдите в панель управления (для Windows) или в папку «Программы» (для macOS) и посмотрите список приложений. Если вы видите что-то с датой установки, совпадающей с моментом вашего эксперимента, и с подозрительным названием (или вообще без названия), удалите это.
Отзовите доступ к своим аккаунтам. Зайдите в настройки безопасности своей почты и соцсетей. В разделе «Приложения и устройства» или «Сеансы» посмотрите, есть ли там подозрительные входы или приложения, которым вы давали доступ. Все незнакомое — отключите немедленно.
Если это рабочий компьютер — немедленно сообщите в IT-отдел. Не пытайтесь скрыть свою ошибку. Стилер мог украсть корпоративные данные, доступы к серверам или исходный код. Специалисты по безопасности должны знать о заражении, чтобы быстро перевыпустить ключи и проверить системы компании на наличие вторжения.
Экспертное мнение
Мошенники идеально попали в тренд. Сейчас высокая потребность в ИИ-инструментах совпала с тем, что компании ещё не успели выстроить чёткие процессы их использования. Сотрудники действуют на свой страх и риск, скачивая софт из сомнительных источников, чтобы выполнить задачу побыстрее или просто поэкспериментировать. Именно эта серая зона — идеальная среда для распространения вирусов.
Обратите внимание на технику атаки: пользователь сам вводит команду и сам вводит свой пароль администратора. Для операционной системы это легитимное действие. Вирус не взламывает защиту, его приглашают войти. Поэтому стандартные средства безопасности могут его не заметить.
Ещё один важный нюанс — мошенники используют рекламу в поисковиках. Это значит, что они платят деньги, чтобы их поддельные сайты увидело как можно больше людей. Поисковые системы не всегда успевают фильтровать такие объявления, особенно если сайт сделан качественно и размещён на легитимном хостинге. Полностью полагаться на метку «реклама» или «спонсорская ссылка» нельзя.
Заключение
Желание попробовать новые технологии понятно, но спешка и доверие к первой ссылке в поиске могут стоить вам всех личных данных или безопасности компании. Теперь вы знаете схему: никогда не копируйте команды для установки из непроверенных источников, всегда проверяйте адрес сайта в строке браузера и скачивайте программы только с официальных страниц разработчиков.
#Мошеловка #НародныйФронт