Phantom squatting: ИИ начал подсказывать опасные домены злоумышленникам

Phantom squatting: ИИ начал подсказывать опасные домены злоумышленникам

Исследователи Palo Alto Networks описали новый сценарий атак, в котором LLM выдают несуществующие доменные имена, а преступники затем регистрируют их и используют для фишинга и распространения вредоносного ПО. Для владельцев сайтов и пользователей VPS это еще один сигнал, что автоматизированные рекомендации нельзя считать безопасными без проверки.

Что произошло

Эксперты Palo Alto Networks сообщили о новой технике атак, которую назвали phantom squatting. Суть в том, что злоумышленники регистрируют домены, которые «придумывают» языковые модели, а затем размещают на них фишинговые страницы и вредоносные файлы.

Опасность такой схемы в том, что пользователь может попасть на вредоносный ресурс не через письмо, рекламу или поддельную ссылку, а через ИИ-инструмент, которому доверяет.

Что показало исследование

Чтобы оценить масштаб проблемы, исследователи задали двум неназванным ИИ-моделям 685 339 вопросов о 913 известных брендах из технологического, финансового, медицинского, государственного и других секторов.

В ответ модели выдали специалистам 2,1 млн ссылок. По данным авторов исследования, системы анализа киберугроз уже считали 13 229 из этих адресов вредоносными. Еще около 250 000 доменов оказались свободны и могли быть зарегистрированы любым желающим.

Иными словами, ИИ не только генерировал сомнительные ссылки, но в ряде случаев фактически направлял пользователей на уже опасные или потенциально опасные ресурсы.

Почему это важно для хостинга и VPS

Новые домены обычно не имеют репутации, по которой их можно быстро заблокировать. Защитным системам нужно время, чтобы обнаружить вредоносную активность. Это дает атакующим окно возможностей: домен может оказаться в рекомендациях ИИ раньше, чем попадет в черные списки.

Для администраторов это означает, что стандартной проверки по репутации домена может быть недостаточно. Если сервис использует ИИ-поиск, чат-бота или внутренний помощник для подбора ссылок, такие рекомендации стоит перепроверять вручную.

Как атакующие используют такие домены

В одном из описанных случаев система Palo Alto Networks заранее предсказала домен, похожий на адрес онлайн-маркетплейса национальной почтовой службы. Обе изученные модели стабильно генерировали этот адрес при разных настройках. Через 23 дня злоумышленники действительно зарегистрировали домен и развернули на нем фишинговый набор Montana Empire.

Поддельный сайт в реальном времени копировал витрину настоящего маркетплейса и собирал:

  • данные банковских карт;
  • информацию о переводах;
  • данные документов, удостоверяющих личность.

Кроме того, операторы могли вручную подтверждать одноразовые коды, введенные жертвами, через бота в Telegram. По сохраненным файлам и логам исследователи сделали вывод, что преступники использовали ИИ-ассистента и при создании самой малвари.

В другом случае «выдуманный» домен почтовой службы был замечен за 51 день до регистрации. Позже на нем разместили клон официального сайта с поддельной оценкой 4,8 звезды и заявлением о более чем двух миллионах пользователей. Ресурс распространял вредоносное приложение для Android.

Также исследователи обнаружили вредоносные домены, которые имитировали банки в ОАЭ и странах Европы, а еще сайты для спортивных ставок, ориентированные на пользователей из Бангладеш.

Что это значит для владельцев сайтов

Новая схема показывает, что домен может быть зарегистрирован не потому, что он выглядит правдоподобно для человека, а потому что его сгенерировала модель. Это делает особенно уязвимыми сценарии, где:

  • ссылки подбираются автоматически;
  • контент формируется ИИ без ручной проверки;
  • пользователи доверяют рекомендациям чат-ботов и помощников.

Для проектов на VPS и в облаке это еще один аргумент в пользу контроля исходящих ссылок, фильтрации контента и проверки доменов перед публикацией в поиске, рассылках и интерфейсах с автоматическими ответами.

Связь с другими атаками

Phantom squatting напоминает описанные ранее атаки slopsquatting. В них злоумышленники создают вредоносные пакеты в PyPI или npm, используя названия, которые «выдумывают» ИИ-модели. В материале упоминается кампания PhantomRaven, где вредоносный код скрыли в 126 пакетах npm, которые затем установили более 86 000 раз.

Вывод

Phantom squatting показывает, что ИИ может быть не только инструментом поиска и автоматизации, но и источником новых векторов атак. Для администраторов, владельцев сайтов и пользователей VPS главный вывод практический: любые ссылки, которые предлагает модель, нужно проверять так же строго, как и данные из неизвестных источников.

Loading spinner
0 Комментарий
Старые
Новые Популярные

Нужен VPS сервер?

Арендуйте мощный VPS сервер для ваших проектов! Быстрая настройка, высокая производительность и надежная поддержка 24/7. Начните прямо сейчас!

Что будем искать? Например,VPS-сервер

Мы в социальных сетях