Исследователи Okta обратили внимание, что неизвестные злоумышленники используют генеративный ИИ-инструмент v0 компании Vercel для создания поддельных страниц, имитирующих настоящие.
V0 представляет собой инструмент, при помощи которого пользователи могут создавать базовые лендинги и полнофункциональные приложения, используя при этом лишь обычные текстовые промпты. Как выяснили исследователи, теперь этой функциональностью злоупотребляют злоумышленники, создавая убедительные копии страниц логина для различных известных брендов (включая неназванного клиента Okta).
Также было установлено, что злоумышленники размещали в инфраструктуре компании Vercel и другие ресурсы, включая поддельные логотипы компаний. Предполагается, что таким образом хакеры злоупотребляли доверенной платформой, стремясь избежать обнаружения.
В настоящее время Vercel уже заблокировала доступ к обнаруженным фишинговым страницам.
Эксперты подчеркивают, что в отличие от традиционных фишинг-китов (для настройки которых требуются определенные знания и усилия), v0 и подобные ему опенсорсные инструменты, свободно доступные на GitHub, позволяют злоумышленникам создавать фальшивые страницы, буквально набрав текстовый промпт. Это ускоряет процесс, а также не требует кодинга, помогая даже низкоквалифицированным мошенникам быстро создавать убедительные фишинговые сайты.
«Обнаруженная активность подтверждает, что современные злоумышленники активно экспериментируют с генеративными ИИ-инструментами, используя их в качестве оружия для оптимизации и улучшения своих фишинговых возможностей, — пишут специалисты. — Эксплуатация такой платформы, как v0.dev компании Vercel, позволяет злоумышленникам быстро создавать высококачественные, вводящие в заблуждение фишинговые страницы, увеличивая скорость и масштабы операций».
Стоит отметить, что на прошлой неделе о популярности ИИ среди преступников писали и эксперты компании Cisco. По их данным, злоумышленники все активнее используют большие языковые модели (LLM) для своей деятельности, и создают для этого специальные версии без цензуры.
Одной из таких LLM, которая приобрела популярность среди киберпреступников, исследователи называют WhiteRabbitNeo, которая рекламируется как «ИИ-модель без цензуры для (Dev) SecOps-команд», и якобы может использоваться как в области наступательной, так и в области оборонительной кибербезопасности. В Cisco отмечают, что эта LLM помогает создавать наступательные инструменты для взлома, фишинговые письма и многое другое.

Также хакеры уже разработали собственные LLM, не имеющие ограничений, которые теперь продаются другим киберпреступникам. Среди таких LLM в отчете перечислены: WormGPT, FraudGPT, GhostGPT, DarkGPT и DarkestGPT.
Создатели таких моделей рекламируют свои продукты, обещая, что они помогут в написании вредоносного кода, создании «невидимой» малвари, фишинговых страниц и писем, хакерских инструментов, поиске уязвимостей и утечек, обфускации кода и многого другого.
