Масштабная киберугроза: более 15 000 сайтов используют ИИ-мошенничество и рекламные трекеры

Киберпреступники создали обширную сеть из более чем 15 000 веб-сайтов, активно использующих рекламные трекеры для распространения изощренных мошеннических схем, связанных с инвестициями в искусственный интеллект. Эти операции, которые эксперты называют "фундаментальным блоком современной киберпреступности", характеризуются применением технологии "клоакинга" и дипфейков, значительно усложняющих их обнаружение и борьбу с ними.

Клоакинг как центральный элемент киберпреступности

Анализ вредоносной активности, проведенный специалистами компаний Infoblox и Confiant в течение четырех месяцев, выявил приблизительно 15 500 доменов, связанных с развертыванием вредоносных трекеров. По их данным, технология "клоакинга", то есть маскировки содержимого сайта, превратилась из вспомогательной тактики в ключевой компонент инфраструктуры киберпреступности. Коммерческие инструменты для отслеживания и управления трафиком теперь широко интегрированы в масштабные киберпреступные операции.

• Более 15 500 доменов активно использовались для распространения замаскированных инвестиционных мошенничеств, связанных с искусственным интеллектом.
• "Клоакинг" гарантирует, что вредоносный контент демонстрируется только целевым жертвам, в то время как сканерам безопасности и обычным пользователям отображаются безобидные страницы.
• Коммерческое программное обеспечение для отслеживания позволяет киберпреступникам масштабировать свои операции, не затрачивая ресурсы на создание собственной инфраструктуры.

Масштабирование атак с помощью коммерческого ПО

Злоумышленники предпочитают использовать готовое коммерческое программное обеспечение для отслеживания трафика вместо разработки собственных систем. Эти инструменты уже обладают функциями фильтрации, маршрутизации и управления кампаниями в больших масштабах. Домены не просто размещают мошеннические схемы, но и скрывают их с помощью методов "клоакинга", отображая вредоносный контент только предполагаемым жертвам, а сканерам безопасности и другим посетителям — нейтральные страницы. "Клоакинг" работает через системы распределения трафика, которые фильтруют посетителей по таким атрибутам, как географическое положение, тип устройства и источник перехода, прежде чем определить, какой контент будет показан. Это позволяет операторам обходить рекламные ограничения, одновременно точно настраивая аудиторию, которая в конечном итоге увидит мошенническое предложение. Исследователи отмечают, что "клоакинг" стал "фундаментальным блоком современной киберпреступности", что отражает его глубокую интеграцию в такие операции. Он также позволяет злоумышленникам защищать свою инфраструктуру не только от систем безопасности, но и от конкурирующих группировок, стремящихся перехватить кампании.

ИИ-тематика в мошеннических схемах

Инвестиционные мошенничества составляют наибольшую долю активности, наблюдаемой на этих доменах, с явным акцентом на нарративы, связанные с искусственным интеллектом, в качестве основной приманки. Страницы часто продвигают автоматизированные торговые платформы, используя такие фразы, как "Умная технология торговли ИИ" или "Интеллектуальные торговые решения", часто в сочетании с обещаниями стабильно высоких и нереалистичных доходов. В ряде случаев для повышения доверия и создания ощущения срочности используются дипфейковые изображения и сфабрикованный медиаконтент. Кроме того, инструменты генеративного ИИ применяются для программного создания больших объемов материалов для кампаний. Сюда входят заголовки, рекламные тексты и визуальные элементы, которые могут быть развернуты на нескольких доменах с минимальными изменениями. Результатом является масштабируемый конвейер контента, который поддерживает быстрое расширение кампаний на разных языках и в разных регионах без значительных ручных усилий.

Вызовы в борьбе с киберугрозой

Несмотря на сообщения о доменах и блокировки аккаунтов со стороны исследователей и операторов трекеров, активность мошенников практически не замедляется. Операторы продолжают ротировать домены и повторно использовать одну и ту же инфраструктуру с минимальными изменениями, что позволяет кампаниям быстро возобновляться после сбоев. Тысячи активных доменов, обнаруживаемые за короткие промежутки времени, указывают на постоянную и продолжающуюся деятельность, а не на единичные инциденты. Системы защиты конечных точек часто не могут обнаружить эти кампании, поскольку замаскированный контент раскрывается только при выполнении определенных условий. Межсетевые экраны обеспечивают ограниченное покрытие, когда трафик маршрутизируется через легитимные рекламные и веб-каналы. Усилия по удалению вредоносного ПО остаются реактивными, поскольку ущерб, как правило, наносится только после того, как жертвы уже прошли через эти пути доставки. Эти ограничения означают, что стандартные средства защиты не могут остановить такие атаки, и риск, связанный с "клоакингом" и злоупотреблением трекерами, остается высоким.