Сеть AkiraBot атакует тысячи сайтов, обходя CAPTCHA с помощью AI-спама.

Компания SentinelOne обнаружила новую спам-платформу под названием AkiraBot. Она способна обходить фильтры CAPTCHA и генерировать спам, используя API OpenAI. Более 80 000 сайтов успешно подверглись спам-атаке. Крупная спам-кампания с использованием ChatGPT была нацелена на более чем 400 000 веб-сайтов и успешно распространила спам на 80 000 из них, обходя фильтры CAPTCHA для рекламы сомнительных услуг. Об этом сообщили исследователи в области кибербезопасности из SentinelOne, которые обнаружили эту кампанию и недавно опубликовали подробный отчет о ней. Согласно отчету, в центре кампании находится платформа под названием AkiraBot, нацеленная на чаты веб-сайтов, разделы комментариев и контактные формы. Она не связана с одноименной операцией с использованием вредоносного ПО.

Платформа представляет собой фреймворк на базе Python, который использует API OpenAI для создания спам-контента, соответствующего общей тематике целевого веб-сайта. Целью кампании является реклама двух сомнительных сервисов поисковой оптимизации (SEO) под названием Akira и ServicewrapGO.

Особенностью этой спам-кампании является способ обхода фильтров CAPTCHA. "Создатель бота приложил значительные усилия для обхода фильтров CAPTCHA, а также для предотвращения сетевого обнаружения, полагаясь на прокси-сервис, ориентированный на рекламодателей, хотя этот сервис вызвал значительный интерес и используется злоумышленниками", – говорится в отчете исследователей.

Для обхода CAPTCHA бот использует поддельные веб-браузеры, имитирующие поведение реального пользователя. Он делает это с помощью инструмента под названием Selenium, который способен открывать веб-сайты и выполнять клики. Поскольку веб-сайты обычно могут обнаруживать поддельные браузеры (выявляя подсказки, такие как отсутствующие шрифты, несоответствующая информация о браузере и т. д.), бот внедряет специальный код (inject.js) в веб-сайт при его загрузке. Этот код корректирует внешний вид поддельного браузера, делая его более похожим на человеческий. Если этот трюк с браузеромом все еще не обманывает CAPTCHA, бот затем использует внешние сервисы для решения CAPTCHA (например, Capsolver) для его взлома. Он также нацелен на чат-системы на веб-сайтах (например, Reamaze) для обновления токенов и продолжения рассылки спама, оставаясь незамеченным.

SentinelOne полагает, что AkiraBot используется как минимум с сентября 2024 года, нацеливаясь на GoDaddy, Wix, Squarespace и другие веб-сайты. Согласно The Hacker News, OpenAI отключила ключ API и другие связанные активы, которые использовали злоумышленники, чтобы противодействовать угрозе.

"Автор или авторы приложили значительные усилия для обеспечения возможности этого бота обходить широко используемые технологии CAPTCHA, что демонстрирует, что операторы мотивированы на нарушение защиты провайдеров услуг", – заявили исследователи. "Использование AkiraBot сгенерированного LLM спам-контента демонстрирует возникающие проблемы, которые искусственный интеллект представляет для защиты веб-сайтов от спам-атак".