Los investigadores de ciberseguridad han revelado detalles de una plataforma alimentada con inteligencia industrial (IA) señal Akirabot Eso se utiliza para spam chats de sitios web, secciones de comentarios y formularios de contacto para promover servicios dudosos de optimización de motores de búsqueda (SEO) como Akira y ServiceWrapgo.
“Akirabot ha agudo a más de 400,000 sitios web y spam a al menos 80,000 sitios web desde septiembre de 2024”, dijeron los investigadores de Sentinelone Alex Delamotte y Jim Walter en un documentación compartido con Hacker News. “El BOT utiliza OpenAI para gestar mensajes de magnitud personalizados basados en el propósito del sitio web”.
Los objetivos de la actividad incluyen formularios de contacto y widgets de chat presentes en sitios web de negocios pequeños a medianos, con el entorno que comparte contenido de spam generado utilizando los modelos de idiomas grandes (LLM) de OpenAI. Lo que hace que la aparejo basada en Python “en expansión” se separe es su capacidad para crear contenido de modo que pueda evitar los filtros de spam.
Se cree que la aparejo de correo a abundante se ha utilizado desde al menos septiembre de 2024, comenzando bajo el nombre “Shopbot” en lo que parece ser una remisión a los sitios web que usan Shopify.
Con el tiempo, Akirabot ha expandido su huella de orientación para incluir sitios desarrollados usando GoDaddy, Wix y Squarespace, así como aquellos que tienen formas de contacto genéricas y widgets de chat en vivo construidos usando Reamaze.
Hay evidencia que sugiere que la promoción del servicio de SEO ha ocurrido desde al menos 2023, aunque Delamotte le dijo a The Hacker News que puede acontecer sido conseguido utilizando un vector diferente. “Creemos que el actor usó más contenido petrificado hasta septiembre de 2024, las fechas de sus primeras herramientas de contenido habilitadas para LLM”, agregó el investigador.
El quid de la operación, que es gestar el contenido de spam, se facilita aprovechando la API de OpenAI. La aparejo asimismo ofrece una interfaz gráfica de afortunado (GUI) para nominar la repertorio de sitios web para ser atacados y personalizar cuántos de ellos pueden dirigirse de guisa concurrente.
“Akirabot crea mensajes de spam personalizados para sitios web específicos mediante el procesamiento de una plantilla que contiene un esquema genérico del tipo de mensaje que el bot debe despachar”, dijeron los investigadores. “La plantilla se procesa mediante un aviso enviado a la API de chat de Operai para gestar un mensaje de divulgación personalizado basado en el contenido del sitio web”.
Un prospección del código fuente revela que el cliente Operai usa el maniquí GPT-4O-Mini y se le asigna el papel de un “asistente útil que genera mensajes de marketing”.
Otro aspecto sobresaliente del servicio es que puede pasar las barreras de Captcha a los sitios web de spam a escalera y evade detecciones basadas en la red al encargar en un servicio proxy que generalmente se ofrece a los anunciantes. Los servicios de Captcha objetivo consisten en HCaptcha, Recaptcha y Cloudflare Turnstile.
Para conseguir esto, el tráfico web del Bot está diseñado para imitar a un afortunado final seguro y utiliza diferentes hosts proxy de SmartProxy para oscurecer la fuente del tráfico.
Akirabot asimismo está configurado para registrar sus actividades en un archivo llamado “SUMPISSIONS.CSV” que registra intentos de spam exitosos y fallidos. Un examen de estos archivos ha revelado que hasta la data se han dirigido más de 420,000 dominios únicos. Encima, las métricas de éxito relacionadas con el bypass de Captcha y la rotación proxy se recopilan y se publican en un canal de telegrama a través de API.
En respuesta a los hallazgos, OpenAI ha deshabilitado la secreto API y otros activos asociados utilizados por los actores de amenaza.
“El autor o los autores han invertido un esfuerzo significativo en la capacidad de este BOT para evitar las tecnologías Captcha de uso popular, lo que demuestra que los operadores están motivados para violar las protecciones del proveedor de servicios”, dijeron los investigadores. “El uso de Akirabot del contenido de mensajes de spam generado por LLM demuestra los desafíos emergentes que AI plantea para defender los sitios web contra los ataques con spam”.
El expansión coincide con la aparición de una aparejo de delito cibernético denominado Xanthorox AI que se comercializa como un chatbot todo en uno para manejar la engendramiento de códigos, el expansión de malware, la explotación de vulnerabilidad y el prospección de datos. La plataforma asimismo admite la interacción basada en la voz a través de llamadas de voz en tiempo actual y mensajes de voz asincrónicos.
“Xanthorox Ai funciona con cinco modelos distintos, cada uno optimizado para diferentes tareas operativas”, dijo Slashnext. “Estos modelos se ejecutan completamente en servidores locales controlados por el mercader, en circunscripción de desplegarse sobre la infraestructura de la cirro pública o mediante API expuestas. Este enfoque recinto primero reduce las posibilidades de detección, extinto o trazabilidad”.
(La historia se actualizó posteriormente de la publicación para incluir ideas adicionales de Sentinelone).
