Аналитики Guardio Labs обратили внимание, что злоумышленники используют ИИ-помощника Grok, интегрированного в соцсеть X, для обхода ограничений на размещение ссылок, которые платформа внедряет для борьбы с вредоносной рекламой.
Исследователи рассказывают, что рекламодатели часто размещают сомнительные видеоролики, содержащие контент для взрослых, и избегают включения ссылки в само тело поста, чтобы избежать обнаружения и блокировки. Вместо этого они скрывают ссылку в поле метаданных «From:», которое расположено под видео и, судя по всему, не проверяется на наличие вредоносных ссылок.
Затем злоумышленники отвечают на собственную публикацию и задают Grok вопрос. Например: «откуда это видео?» или «где ссылка на это видео?». Grok анализирует поле «From:» и отправляет ответ с полноценной вредоносной ссылкой, позволяя пользователю кликнуть по ней и перейти непосредственно на вредоносный сайт.
Так как Grok является доверенной системной учетной записью в X, его публикация повышает авторитетность ссылки, ее охват, SEO и репутацию, увеличивая вероятность того, что она будет показана большому количеству пользователей.
Эксперты пишут, что многие из таких ссылок направляют пользователей в сомнительные рекламные сети, после чего жертвы видят поддельные CAPTCHA, могут загрузить инфостилеры и другую малварь.
Исследователи дали этой тактике название «Гроккинг» и отмечают, что эти атаки весьма эффективны: в некоторых случаях они позволяют достичь миллионов показов вредоносной рекламы, как показано на скриншоте ниже.
Для борьбы с этой проблемой эксперты предлагают внедрить сканирование всех полей, блокировку скрытых ссылок и добавить очистку контекста в Grok, чтобы ИИ-помощник не повторял любые ссылки по запросу пользователей, а фильтровал адреса и сверялся с черными списками.
Исследователи уже передали всю собранную информацию инженерам X, и получили неофициальное подтверждение того, что отчет направлен разработчикам Grok.
