Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Напад од типот ClickFix го користи Grok и ChatGPT за испорака на малициозен софтвер

Објавено: 11.12.2025

Нова варијанта на социјално инженерство станува се поприсутна, комбинирајќи SEO труење и легитимни AI домени за да инсталира малициозен софтвер на компјутерите на жртвите.

Нов напад користи SEO труење и популарни AI модели за испорака на „infostealer“ малициозен софтвер, сето тоа преку легитимни домени.

ClickFix нападите стекнаа значителна популарност во изминатата година, користејќи наизглед безопасни CAPTCHA-стил известувања за да ги вовлечат корисниците во лажна сигурност, а потоа да ги измамат да извршат малициозни команди самите врз себе. Овие команди често се доставуваат преку SEO труење и фишинг кампањи, претставувајќи една од најсофистицираните форми на социјално инженерство во сајбер-криминалот досега.

Истражувачите на Huntress, Стјуарт Ашенбренер и Џонатан Семон, опишаа нова варијанта на овој вид напад, каде што ништо не сомневачки корисник пребарува на Google решение за некој проблем — на пример, чистење простор на хард дискот. Huntress утврди дека за некои пребарувања резултатите на првата страна вклучуваат легитимни ChatGPT и Grok линкови што се однесуваат на барањето на корисникот.

Корисникот клика на резултатот и се носи во разговор со големи јазични модели (LLMs), каде што добива инструкции како, на пример, да ослободи простор на MacOS. Сепак, она што изгледа како сосема едноставен совет, всушност го наведува корисникот да стартува терминална команда која воспоставува комуникација со сервер на напаѓачот и го инсталира „infostealer“ малициозниот софтвер — во овој случај MacOS крадецот AMOS. Токму тоа му се случило на клиент на Huntress на 5 декември.

Овој напад ја искористува довербата што корисниците ја имаат (заслужена или незаслужена) во AI чет-ботовите, како и довербата што напаѓачот може да ја извлече од популарен LLM бренд.

Злоупотреба на довербата во АИ за напади од типот ClickFix

Според блог-постот на Huntress, клиентот „верувал дека следи совет од доверлив АИ асистент, испорачан преку легитимна платформа, прикажан од пребарувач што го користи секој ден.“

„Наместо тоа, тој штотуку извршил команда што презела варијанта од AMOS stealer кој тивко ја собрал неговата лозинка, се ескалирал до root и инсталирал упорен малициозен софтвер,“ напишаа Ашенбренер и Семон. „Без малициозно преземање. Без безбедносни предупредувања. Без заобиколување на вградените заштити на macOS. Само пребарување, клик и копирај-залепи — што довело до целосен, постојан протек на податоци.“

Додека многу кампањи за социјално инженерство користат лажни или копирани веб-страници или малку погрешно напишани имејл адреси за испорака на малициозен софтвер, оваа кампања ги користи вистинските АИ и пребарувачки платформи, со малку SEO труење за да ги натера жртвите сами да се инфицираат.

Семон, кој е главен SOC аналитичар во Huntress, за Dark Reading изјави дека напаѓачот го генерира линкот така што го обликува LLM-промптот да изгледа како легитимно техничко решение (додека вклучува малициозна команда), а потоа создава URL преку опцијата за споделување што ја има на АИ платформата. Малициозниот разговор потоа се споделува преку содржински фарми, форуми, Telegram канали и неквалитетни индексирани страници со цел „вештачки да се зголеми релевантноста на backlink-овите за клучни зборови поврзани со технички проблеми.“

Во овој напад, чет-разговорите испорачуваат AMOS — Mac малициозен софтвер за крадење податоци, кој работи постојано и собира целни податоци како криптовалетни паричници, пристапи од keychain, креденцијали од пребарувачи и многу повеќе.

Одбрана од ClickFix-Стил АИ Напади

Семон изјави за Dark Reading дека верува дека „оваа тактика може да стане доминантен метод за иницијален пристап за инфостилери и други семејства на малициозен софтвер во следните шест до 18 месеци, особено за кражба на креденцијали, кражба на крипто-паричници и тројанизирани команди, како на Windows така и на macOS.“

Постојат многу начини за справување со оваа закана. Најдиректно, Huntress советува дека, бидејќи векторот на инфекција изгледа како легитимна активност (ChatGPT промпт), одбраната треба да се фокусира на аномалии во однесувањето — како на пример osascript, командно-линиски алат во macOS, кој бара кориснички акредитиви и скриени извршливи датотеки во домашните директориуми на корисниците.

За крајните корисници, препораките се:

  • не извршувајте терминални команди од непознати извори,
  • користете силна хигиена на лозинки (долги, случајни лозинки и по можност менаџер за лозинки),
  • иако овој напад е малку уникатен случај, потсетува да размислите критички пред да го сфатите АИ-одговорот како директно упатство за извршување.

„Традиционалната испорака на малициозен софтвер се бори против инстинктите. Фишинг е-поштите изгледаат сомнително. Пиратските инсталатори активираат предупредувања. Но да копираш Terminal команда од нашиот доверлив АИ пријател ChatGPT? Тоа изгледа продуктивно. Тоа изгледа безбедно. Тоа изгледа како едноставно решение за досаден проблем,“ пишува во блог-постот.

„Оваа стратегија е пробив, бидејќи напаѓачите открија канал за испорака кој не само што ги заобиколува безбедносните контроли, туку целосно го заобиколува и човечкиот модел на закана.“

Извори:

  • Dark Reading – ClickFix Style Attack Uses Grok, ChatGPT for Malware Delivery Dark Reading