Еще весной текущего года компания Microsoft начала добавлять рекламу в разговоры с ИИ чат-ботом Bing Chat, чтобы монетизировать новую платформу. Как теперь обнаружили исследователи, в ответы чат-бота внедряется вредоносная реклама, предлагающая пользователям загрузить малаварь под видом утилиты Advanced IP Scanner.
Bing Chat, основанный на движке OpenAI GPT-4, был представлен в феврале 2023 года и был призван бросить вызов доминированию Google в сфере поисковой индустрии. Предлагая пользователям интерактивный чат вместо традиционных поисковых запросов и результатов, Bing Chat должен был сделать онлайн-поиск более интуитивно понятным и удобным для пользователя.
В марте 2023 года Microsoft начала добавлять рекламу в ответы Bing Chat, чтобы получать доход от новой платформы. Но как теперь предупреждают аналитики Malwarebytes, эта функциональность оказалась опасной.
Вредоносная реклама, обнаруженная исследователями, замаскирована под сайт для загрузки популярной утилиты Advanced IP Scanner, и похожая тактика с фейковыми сайтами Advanced IP Scanner ранее использовалась операторами вымогателей RomCom RAT и Somnia.
Исследователи рассказывают, что если спросить у Bing Chat, где загрузить Advanced IP Scanner, в чате отобразится ссылка для скачивания. Однако если навести на нее курсор, Bing Chat может сначала показать рекламу и только потом легитимную ссылку для загрузки утилиты. В данном случае рекламная ссылка оказалась вредоносной и распространяет малварь.
Вредоносная ссылка в чате
Как оказалось, ради этой атаки неизвестные злоумышленники взломали рекламный аккаунт неназванной австралийской компании, чтобы создать сразу две вредоносные рекламные кампании, нацеленные на системных администраторов (Advanced IP Scanner) и юристов (менеджер MyCase).
Рекламные кампании хакеров
После клика на такую рекламу, предлагающую загрузить Advanced IP Scanner, жертва попадет на сайт mynetfoldersip[.]cfd, который отделяет ботов от живых людей путем проверки IP-адреса, часового пояса и различных системных индикаторов.
Затем жертв перенаправляют на клон сайта Advanced IP Scanner (advenced-ip-scanner[.]com), в адресе которого используется тайпсквоттинг (буква «e» в слове «advenced»), чтобы обмануть посетителей.
Цепочка редиректов
Загруженный с этого сайта установщик MSI содержит три файла, один из которых представляет собой сильно обфусцированный вредоносный скрипт, подключающийся к внешнему ресурсу для получения полезной нагрузки.
Вредоносный скрипт
К сожалению, экспертам Malwarebytes не удалось изучить финальную полезную нагрузку для этой вредоносной кампании, поэтому неясно, какое именно вредоносное ПО в итоге устанавливается на машину пользователя.
Исследователи отмечают, что общение с ИИ чат-ботом может вызывать у пользователей необоснованное чувство доверия, убеждая их кликнуть на рекламу, чего не произошло бы при просмотре обычных обезличенных результатов поиска. То есть, по их мнению, внедрение ИИ-помощников может ухудшить проблему вредоносной рекламы и так существующую в поисковиках.
Bing Chat, основанный на движке OpenAI GPT-4, был представлен в феврале 2023 года и был призван бросить вызов доминированию Google в сфере поисковой индустрии. Предлагая пользователям интерактивный чат вместо традиционных поисковых запросов и результатов, Bing Chat должен был сделать онлайн-поиск более интуитивно понятным и удобным для пользователя.
В марте 2023 года Microsoft начала добавлять рекламу в ответы Bing Chat, чтобы получать доход от новой платформы. Но как теперь предупреждают аналитики Malwarebytes, эта функциональность оказалась опасной.
Вредоносная реклама, обнаруженная исследователями, замаскирована под сайт для загрузки популярной утилиты Advanced IP Scanner, и похожая тактика с фейковыми сайтами Advanced IP Scanner ранее использовалась операторами вымогателей RomCom RAT и Somnia.
Исследователи рассказывают, что если спросить у Bing Chat, где загрузить Advanced IP Scanner, в чате отобразится ссылка для скачивания. Однако если навести на нее курсор, Bing Chat может сначала показать рекламу и только потом легитимную ссылку для загрузки утилиты. В данном случае рекламная ссылка оказалась вредоносной и распространяет малварь.
Вредоносная ссылка в чате
Как оказалось, ради этой атаки неизвестные злоумышленники взломали рекламный аккаунт неназванной австралийской компании, чтобы создать сразу две вредоносные рекламные кампании, нацеленные на системных администраторов (Advanced IP Scanner) и юристов (менеджер MyCase).
Рекламные кампании хакеров
После клика на такую рекламу, предлагающую загрузить Advanced IP Scanner, жертва попадет на сайт mynetfoldersip[.]cfd, который отделяет ботов от живых людей путем проверки IP-адреса, часового пояса и различных системных индикаторов.
Затем жертв перенаправляют на клон сайта Advanced IP Scanner (advenced-ip-scanner[.]com), в адресе которого используется тайпсквоттинг (буква «e» в слове «advenced»), чтобы обмануть посетителей.
Цепочка редиректов
Загруженный с этого сайта установщик MSI содержит три файла, один из которых представляет собой сильно обфусцированный вредоносный скрипт, подключающийся к внешнему ресурсу для получения полезной нагрузки.
Вредоносный скрипт
К сожалению, экспертам Malwarebytes не удалось изучить финальную полезную нагрузку для этой вредоносной кампании, поэтому неясно, какое именно вредоносное ПО в итоге устанавливается на машину пользователя.
Исследователи отмечают, что общение с ИИ чат-ботом может вызывать у пользователей необоснованное чувство доверия, убеждая их кликнуть на рекламу, чего не произошло бы при просмотре обычных обезличенных результатов поиска. То есть, по их мнению, внедрение ИИ-помощников может ухудшить проблему вредоносной рекламы и так существующую в поисковиках.
