ИИ-сервис под названием AkiraBot умеет обходить капчу, пишет персонализированную рекламу и через спам предлагает некие SEO-услуги. Под угрозой — малый и средний бизнес.
Эксперты компании SentinelOneС заметили вредоносную активность ИИ-бота, который с сентября 2024 года атаковал 400 тыс. сайтов с успешной доставкой спама на 80 тыс. ресурсов. Тогда он назывался Shopbot.
Что за зверь этот бот: про AkiraBot
Справка. AkiraBot — это фреймворк, который злоумышленники используют для массовой рассылки спам-сообщений на сайтах через виджеты с чатами, в том числе Live Chat, и контактные формы с целью продвижения SEO-услуг (о которых на самом деле ничего неизвестно). Бот кидает заявку через сайт, предлагая его владельцу услуги продвижения.
Эксперты сообщают, что AkiraBot использует OpenAI для создания персонализированных сообщений в зависимости от назначения сайта. Контент, созданный с помощью нейроязыковых моделей, помогает мошенникам обходить фильтры блокировки спама, поскольку содержимое сообщений меняется при каждой новой итерации. Платформа также каждый раз подменяет домен, используемый в сообщениях.
Бот умело имитирует поведение реального пользователя, поэтому способен обходить капчу. Чтобы скрыть свою вредоносную активность в сети, фреймворк использует прокси-сервера.
Кто под угрозой
AkiraBot в первую очередь атакует интернет-магазины, созданные на конструкторах Shopify, GoDaddy и Wix, а также корпоративные сайты на Squarespace. Вредоносные сообщения, отправленные ботом, индексируются поисковыми системами. На это указывают ссылки из поиска на домены, атакованные AkiraBot.
Фальшивый цифровой след и умение обходить капчу
Кибермошенники вложили немало усилий в свою ИИ-разработку, научив бота обходить CAPTCHA, reCAPTCHA и hCAPTCHA на сайтах. Эксперты обнаружили, что для разгадывания капчи бот использует сервисы Capsolver, FastCaptcha и NextCaptcha. А смена прокси-серверов позволяет избежать блокировки по геопозиции или ограничений, связанных с IP-адресами, при повторных попытках обновить и отменить ввод капчи.
Также исследователи нашли файлы с цифровыми следами (fingerprint), которые позволяют боту имитировать профили реальных пользователей. Перехват процессов загрузки сайта осуществляется с помощью Selenium WebDriver (фреймворка автоматизации), который имитирует активность пользователя в браузере.
С помощью скрипта inject.js злоумышленники манипулируют значениями сессии посредством Headless-браузера Chrome, выдавая бота за реального пользователя и скрывая автоматизированный характер визита. Среди изменяемых параметров: установленные шрифты, рендеринг графики, включая атрибуты canvas и WebGL, часовой пояс и т. д.
AkiraBot — это обширный фреймворк, который претерпел множество изменений. Теперь он способен не просто рассылать спам, но и обходить защиту сайтов.
Вредоносный ИИ-бот активен по сей день. Чтобы защитить свой сайт от атак со стороны ИИ-ботов, способных разгадывать CAPTCHA, подключите современную защиту Умная капча. Она сравнивает профиль пользователя по 100+ техническим и поведенческим параметрам, проверяя в том числе его цифровой след и его соответствие профилю.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
