Эксперты компании Palo Alto Networks обнаружили новую технику атак, которой дали название phantom squatting. Злоумышленники регистрируют несуществующие домены, которые «придумывают» LLM, а затем размещают на них фишинговые страницы и малварь. В результате пользователь попадает на опасный сайт не через фишинговое письмо или вредоносную рекламу, а через ИИ-инструмент, которому доверяет.

Чтобы оценить масштаб проблемы, исследователи задали двум неназванным ИИ-моделям 685 339 вопросов о 913 известных брендах из технологического, финансового, медицинского, государственного и других секторов. В ответ модели предоставили специалистам 2,1 млн ссылок, причем системы анализа киберугроз уже считали 13 229 их этих адресов вредоносными. То есть ИИ напрямую рекомендовал пользователям заведомо опасные ресурсы. Еще около 250 000 доменов, порожденных галлюцинациями ИИ, были свободны, и зарегистрировать их мог любой желающий.

Исследователи отмечают, что недавно зарегистрированные домены удобны для атак, поскольку еще не успели заработать плохую репутацию. Черным спискам и защитным системам требуется время, чтобы обнаружить вредоносную активность, поэтому к моменту блокировки такого домена пользователь может успеть перейти на сайт по рекомендации ИИ.

Подчеркивается, что модели не могли почерпнуть странные адреса из обучающих данных, и домены возникали из-за языковых паттернов самих LLM. Причем разные модели часто придумывали одинаковые адреса в ответ на один и тот же вопрос, а повышение «креативности» модели лишь увеличивало количество галлюцинаций. Специалисты пишут, что это «структурное свойство архитектуры LLM, которое невозможно исправить».

В одном случае система Palo Alto Networks предсказала, что модели «придумают» домен, похожий на адрес онлайн-маркетплейса национальной почтовой службы. Обе изученные модели действительно стабильно генерировали этот адрес при любых настройках температуры. Через 23 дня злоумышленник зарегистрировали этот домен и развернули там фишинг-кит Montana Empire.

Поддельный сайт в режиме реального времени копировал настоящую витрину маркетплейса и похищал данные банковских карт и переводов, а также информацию о документах, удостоверяющих личность. Операторы малвари могли вручную подтверждать одноразовые коды, введенные жертвами, через бота в Telegram. При этом сохранившиеся на сервере файлы и логи свидетельствуют о том­, что преступники создавали малварь с помощью ИИ-ассистента.

В другом случае исследователи заметили «выдуманный» домен почтовой службы за 51 день до его регистрации. Позже на этом домене появился точный клон официального сайта с фальшивой оценкой 4,8 звезды и заявлением о более чем двух миллионах пользователей. Ресурс распространял вредоносное приложение для Android.

Прочие вредоносные домены имитировали банки в ОАЭ и странах Европы, а также сайты для спортивных ставок, которые были ориентированы на пользователей из Бангладеш.

Phantom squatting очень похож на описанные в 2025 году атаки типа slopsquatting, при которых преступники создают вредоносные пакеты в PyPI или npm, используя названия, которые «выдумывают» ИИ-модели. Именно эта схема применялась злоумышленниками в кампании PhantomRaven, когда малварь скрыли в 126 пакетах npm, которые в итоге установили более 86 000 раз.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии