Киберпреступники разработали новую технику под кодовым названием «Гроккинг» для эксплуатации ИИ-ассистента Grok на платформе X. Этот метод позволяет им обходить защитные механизмы рекламной системы и использовать вирусные, продвигаемые посты для распространения вредоносных ссылок среди миллионов пользователей. Ссылки приобретают легитимность, поскольку публикуются от имени доверенного системного аккаунта.
Мошенники создают продвигаемый рекламный пост, обычно с видеокарточкой, используя в качестве приманки контент для взрослых, чтобы привлечь максимальное внимание. Ключевой элемент схемы заключается в том, что вредоносная ссылка не размещается в основном содержании объявления. Вместо этого её скрывают в поле метаданных «From:» (От:), расположенном под видеопроигрывателем. Согласно анализу, это поле «по-видимому, не сканируется» системами безопасности X.
После публикации рекламного поста злоумышленники отвечают на него и отмечают (тегают) ИИ-ассистента Grok. Они задают ему простой вопрос, например: «Откуда это видео?».
В ответ Grok считывает скрытые метаданные из поля «From:» и в своем публичном ответе публикует вредоносную ссылку. Это делает ссылку видимой для всех и придает ей вид достоверной, поскольку она исходит от официального аккаунта искусственного интеллекта платформы.
Схему обнаружили специалисты по кибербезопасности из компании Guardio Labs. Руководитель Guardio Labs, Нати Таль, подробно описал атаку. Информация об уязвимости была также передана изданию The Hacker News.
Техника «Гроккинг» эффективно обходит правила X для продвигаемых объявлений, которые должны ограничивать контент только текстом, изображениями или видео без внешних ссылок в определенных полях. Ответ Grok служит своего рода «печатью одобрения», усиливая SEO и репутацию домена вредоносной ссылки, что способствует ее быстрому распространению в лентах миллионов пользователей и результатах поиска.
Ссылки, распространяемые таким методом, ведут пользователей на опасные ресурсы. Среди них — сомнительные рекламные сети, мошеннические сайты с поддельными CAPTCHA, а также ресурсы, распространяющие вредоносное ПО для кражи информации. Злоумышленники используют схемы монетизации через прямые ссылки (также известные как smartlink).
Атака основана на использовании системы распределения трафика (TDS), которая направляет пользователей на различный вредоносный контент в зависимости от их геолокации и устройства. По оценкам экспертов, домены, задействованные в этой схеме, являются частью одной и той же TDS.
Кампания носит организованный и масштабный характер. Один продвигаемый пост может набрать «сотни тысяч показов». Специалисты Guardio Labs обнаружили «сотни аккаунтов», участвующих в этой деятельности. Активность наблюдалась «в течение последних нескольких дней». Каждый аккаунт публикует «сотни или даже тысячи» подобных постов и работает без остановки несколько дней до момента блокировки, что указывает на непрерывный и скоординированный процесс.
Изображение носит иллюстративный характер
Мошенники создают продвигаемый рекламный пост, обычно с видеокарточкой, используя в качестве приманки контент для взрослых, чтобы привлечь максимальное внимание. Ключевой элемент схемы заключается в том, что вредоносная ссылка не размещается в основном содержании объявления. Вместо этого её скрывают в поле метаданных «From:» (От:), расположенном под видеопроигрывателем. Согласно анализу, это поле «по-видимому, не сканируется» системами безопасности X.
После публикации рекламного поста злоумышленники отвечают на него и отмечают (тегают) ИИ-ассистента Grok. Они задают ему простой вопрос, например: «Откуда это видео?».
В ответ Grok считывает скрытые метаданные из поля «From:» и в своем публичном ответе публикует вредоносную ссылку. Это делает ссылку видимой для всех и придает ей вид достоверной, поскольку она исходит от официального аккаунта искусственного интеллекта платформы.
Схему обнаружили специалисты по кибербезопасности из компании Guardio Labs. Руководитель Guardio Labs, Нати Таль, подробно описал атаку. Информация об уязвимости была также передана изданию The Hacker News.
Техника «Гроккинг» эффективно обходит правила X для продвигаемых объявлений, которые должны ограничивать контент только текстом, изображениями или видео без внешних ссылок в определенных полях. Ответ Grok служит своего рода «печатью одобрения», усиливая SEO и репутацию домена вредоносной ссылки, что способствует ее быстрому распространению в лентах миллионов пользователей и результатах поиска.
Ссылки, распространяемые таким методом, ведут пользователей на опасные ресурсы. Среди них — сомнительные рекламные сети, мошеннические сайты с поддельными CAPTCHA, а также ресурсы, распространяющие вредоносное ПО для кражи информации. Злоумышленники используют схемы монетизации через прямые ссылки (также известные как smartlink).
Атака основана на использовании системы распределения трафика (TDS), которая направляет пользователей на различный вредоносный контент в зависимости от их геолокации и устройства. По оценкам экспертов, домены, задействованные в этой схеме, являются частью одной и той же TDS.
Кампания носит организованный и масштабный характер. Один продвигаемый пост может набрать «сотни тысяч показов». Специалисты Guardio Labs обнаружили «сотни аккаунтов», участвующих в этой деятельности. Активность наблюдалась «в течение последних нескольких дней». Каждый аккаунт публикует «сотни или даже тысячи» подобных постов и работает без остановки несколько дней до момента блокировки, что указывает на непрерывный и скоординированный процесс.
