За прошедший месяц тысячи сайтов, находящиеся под управлением WordPress и Joomla! были скомпрометированы и перенаправляют пользователей с целью заражения вымогателем CryptXXX.
Все указывает на то, что распространение CryptXXX при помощи скомпрометированных сайтов началось 9 июня, а 3 июля наблюдались пики активности. Согласно , по крайней мере, 2000 сайтов содержали вредоносный код, а реальная оценка будет в пять раз выше, так как данные поступали от сканера SiteCheck, который ограничен.
При перенаправлении пользователей используются домены realstatistics[.]info и realstatistics[.]pro. Затем набор эксплоитов Neutrino, который на данный момент занимает лидирующие позиции среди наборов эксплоитов, пытается использовать Flash или PDF-уязвимости на компьютере жертвы. Если это удается, то используя эти уязвимости, на компьютер жертвы загружается вымогатель CryptXXX.
Исследователи Forcepoint отметили, что вышеупомянутые домены, использующиеся для перенаправления пользователей, были замечены и ранее при распространении наборов эксплоитов Neutrino и RIG. Исследователи связывают эти домены с появившейся два года назад Blackhat-TDS – вредоносной системой распределения трафика.
Однако исследователям не удалось пока определить масштабы заражения и то, как именно были скопрометированны сайты. По данным 60% пострадавших сайтов используют устаревшие версии Joomla! и WordPress, но также не исключено, что при заражении использовались уязвимости в плагинах и расширениях.
«Когда CMS устарела, это говорит о многом в отношении владельца сайта. Если владелец не может поддерживать в актуальном состоянии ядро своего сайта, то можно с уверенностью заявить, что модули и расширения так же устарели. А из наших предыдущих исследований можно сделать вывод, что основные атаки направлены именно на наличие уязвимостей в сторонних плагинах и расширениях.», утверждают исследователи.
Имея в своем распоряжении тысячи скомпрометированных веб-сайтов, в том числе некоторые, связанные с безопасностью, например, PCI Policy Portal, злоумышленники могут атаковать десятки тысяч пользователей одновременно. Пару недель назад SentinelOne установили, что менее чем за три недели CryptXXX принес сумму в $50,000только на один Bitcoin-кошелек.
Очевидно, что злоумышленники нацелены на использование новейших, ныне топовых угроз. Это стало понятно после того, как они быстро перешли на набор эксплоитов Neutrino в прошлом месяце, сразу после того, как в прошлом занимающий топовые позиции Angler исчез с рынка. CryptXXX тоже быстро стал лидирующим вымогателем и получил многочисленные обновления за последние пару месяцев.
Наиболее последнее изменение в функционале вымогателя было обнаружено SANS Internet Storm Center – видоизменилась записка с требованиями и начал использоваться новый сайт для оплаты.
Кроме того, Лоуренс Абрамс из BleepingComputer установил, что CryptXXX больше не использует специальное расширение, добавляя его к зашифрованным файлам, а жертвы перенаправляются на специальный сайт для оплаты, называющийся Microsoft Decryptor. В отличие от предыдущего платежного сайта, новый не предоставляет пользователям возможности связаться с администрацией в случае, если возникли какие-либо вопросы по оплате.
В прошлом месяце ИИ-бот ChatGPT обрел новый генератор изображений с выпуском модели 4o. Первые пробы показали, что создаваемые с его помощью картинки с вставленным текстом стали более реалистичными.
Пользователи ChatGPT теперь заставляют его генерировать ресторанные счета и получают вполне убедительные дипфейки.
Фото одной из таких фальшивок было опубликовано в X.
Другие юзеры подхватили идею, добились схожих результатов, а в одном из случаев тот же фейковый счет был для большего правдоподобия «испачкан»:
Наиболее реалистичный образец получился у французского специалиста в области ИИ — из-за эффекта помятой бумаги.
В TechCrunch тоже опробовали новинку и получили вполне сносный вариант для гриль-бара в Сан-Франциско. Правда, в итоговой сумме вместо точки стояла запятая, к тому же у ChatGPT, видимо, плохо с арифметикой, но эти огрехи при желании можно быстро исправить, конкретизировав подсказки, или с помощью графического редактора.
В комментарии для онлайн-издания представитель OpenAI заявила, что все изображения, генерируемые ИИ-ботом, снабжены соответствующими метаданными. Обнаружив нарушение пользовательского соглашения, компания «принимает меры» и «учится» на таких случаях.
В ответ на вопрос, зачем вообще позволять ChatGPT соглашаться на авантюры, попахивающие злоупотреблением, собеседница подчеркнула, что их цель — предоставить юзерам «как можно больше свободы творчества». К тому же фейковые счета необязательно нужны для мошенничества, их можно использовать в целях финансового ликбеза, а также для создания оригинальных картин или продуктовой рекламы.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
