Grokking: новая техника злоумышленников для обхода защиты X
В экосистеме киберугроз появилась новая разновидность атак, получившая название Grokking. Методика основана на эксплуатации возможностей чат-бота Grok, интегрированного в социальную сеть X. Исследователь из Guardio Labs Нати Таль сообщил, что хакеры научились использовать бота для распространения вредоносных ссылок, обходя внутренние механизмы защиты платформы.
На первый взгляд, атака выглядит как безобидное взаимодействие с чат-ботом. Однако в реальности речь идёт о сложной манипуляции метаданными, которая открывает перед злоумышленниками возможность распространять фишинговые и мошеннические ресурсы среди миллионов пользователей.
Как работает новая атака
- Злоумышленники публикуют в X рекламные объявления с сомнительным содержанием — чаще всего это ролики с намёком на «18+».
- В основной текст публикации запрещённые ссылки вставить невозможно: система фильтрации X их сразу блокирует.
- Чтобы обойти ограничение, атакующие прячут вредоносный адрес в поле метаданных From:, которое не сканируется автоматически.
- Затем они оставляют комментарий к объявлению и задают Grok вопрос в духе: «Откуда это видео?» или «Какая ссылка на ролик?».
- Бот, разбирая скрытое поле, извлекает оттуда полный адрес и публикует его в кликабельном формате.
Таким образом, пользователи сами провоцируют бота на раскрытие вредоносной ссылки, даже не подозревая, что общаются с автоматизированным посредником атаки.
Почему это опасно
- Механизм атаки использует доверие пользователей к чат-ботам, снижая вероятность подозрений.
- Формат ссылки — «ответ Grok» — выглядит естественно и не вызывает у большинства людей сомнений.
- Система X не воспринимает поле From: как источник угрозы, что позволяет вредоносным адресам обходить фильтрацию.
- Мошенники получают эффективный канал для распространения фишинга, криптовалютных скамов и вредоносных приложений.
Технические детали атаки
Исследователи Guardio Labs уточняют, что поле From: исторически использовалось для отображения дополнительной информации об источнике ролика. Однако из-за несовершенства проверки оно оказалось уязвимым к внедрению HTML-ссылок.Grok, анализируя карточку видео, не отличает легитимные данные от подменённых и автоматически отображает их в ответе. Получается, что злоумышленники фактически перепрограммировали поведение бота, не взламывая его напрямую.
Экономический аспект
Основная цель атакующих — монетизация. Схемы могут включать:- перенаправление на фишинговые криптокошельки;
- мошеннические инвестиционные сайты;
- скачивание вредоносного софта под видом обновлений;
- воровство приватных ключей и паролей.
Потенциальные жертвы теряют криптовалюту, доступ к аккаунтам и личные данные, а злоумышленники получают прибыль. По словам экспертов, подобные схемы особенно эффективны в среде, где вовлечены миллионы пользователей криптовалютных сервисов.
Как защититься пользователям
- Не переходить по ссылкам, полученным от чат-ботов или в комментариях к подозрительным постам.
- Проверять домены вручную, не доверяя автоматически сгенерированным адресам.
- Использовать антивирусное ПО и расширения для браузеров с функцией фильтрации вредоносных ссылок.
- С осторожностью относиться к любым объявлениям «для взрослых» или предложениям лёгкой прибыли.
- Следить за обновлениями безопасности в X и других соцсетях.
Что дальше?
Появление Grokking указывает на то, что киберпреступники активно осваивают ИИ-инструменты для атак. В данном случае сама архитектура чат-бота стала уязвимостью, позволяющей внедрять ссылки через неожиданный канал.Эксперты предполагают, что теперь такие схемы будут масштабироваться и использоваться в других платформах с интеграцией ИИ. Это создаёт новые вызовы для кибербезопасности и требует от разработчиков пересмотра механизмов защиты.
