Los investigadores de ciberseguridad han revelado detalles de una plataforma alimentada con inteligencia químico (IA) emplazamiento Akirabot Eso se utiliza para spam chats de sitios web, secciones de comentarios y formularios de contacto para promover servicios dudosos de optimización de motores de búsqueda (SEO) como Akira y ServiceWrapgo.
«Akirabot ha anotado a más de 400,000 sitios web y spam a al menos 80,000 sitios web desde septiembre de 2024», dijeron los investigadores de Sentinelone Alex Delamotte y Jim Walter en un noticia compartido con Hacker News. «El BOT utiliza OpenAI para originar mensajes de trascendencia personalizados basados en el propósito del sitio web».
Los objetivos de la actividad incluyen formularios de contacto y widgets de chat presentes en sitios web de negocios pequeños a medianos, con el ámbito que comparte contenido de spam generado utilizando los modelos de idiomas grandes (LLM) de OpenAI. Lo que hace que la utensilio basada en Python «en expansión» se separe es su capacidad para crear contenido de modo que pueda evitar los filtros de spam.
Se cree que la utensilio de correo a suelto se ha utilizado desde al menos septiembre de 2024, comenzando bajo el nombre «Shopbot» en lo que parece ser una relato a los sitios web que usan Shopify.
Con el tiempo, Akirabot ha expandido su huella de orientación para incluir sitios desarrollados usando GoDaddy, Wix y Squarespace, así como aquellos que tienen formas de contacto genéricas y widgets de chat en vivo construidos usando Reamaze.
Hay evidencia que sugiere que la promoción del servicio de SEO ha ocurrido desde al menos 2023, aunque Delamotte le dijo a The Hacker News que puede sobrevenir sido rematado utilizando un vector diferente. «Creemos que el actor usó más contenido pasivo hasta septiembre de 2024, las fechas de sus primeras herramientas de contenido habilitadas para LLM», agregó el investigador.
El quid de la operación, que es originar el contenido de spam, se facilita aprovechando la API de OpenAI. La utensilio además ofrece una interfaz gráfica de afortunado (GUI) para designar la cinta de sitios web para ser atacados y personalizar cuántos de ellos pueden dirigirse de modo concurrente.
«Akirabot crea mensajes de spam personalizados para sitios web específicos mediante el procesamiento de una plantilla que contiene un esquema genérico del tipo de mensaje que el bot debe dirigir», dijeron los investigadores. «La plantilla se procesa mediante un aviso enviado a la API de chat de Operai para originar un mensaje de divulgación personalizado basado en el contenido del sitio web».
Un descomposición del código fuente revela que el cliente Operai usa el maniquí GPT-4O-Mini y se le asigna el papel de un «asistente útil que genera mensajes de marketing».
Otro aspecto importante del servicio es que puede pasar las barreras de Captcha a los sitios web de spam a escalera y evade detecciones basadas en la red al fiarse en un servicio proxy que generalmente se ofrece a los anunciantes. Los servicios de Captcha objetivo consisten en HCaptcha, Recaptcha y Cloudflare Turnstile.
Para alcanzar esto, el tráfico web del Bot está diseñado para imitar a un afortunado final oficial y utiliza diferentes hosts proxy de SmartProxy para oscurecer la fuente del tráfico.
Akirabot además está configurado para registrar sus actividades en un archivo llamado «SUMPISSIONS.CSV» que registra intentos de spam exitosos y fallidos. Un examen de estos archivos ha revelado que hasta la aniversario se han dirigido más de 420,000 dominios únicos. Adicionalmente, las métricas de éxito relacionadas con el bypass de Captcha y la rotación proxy se recopilan y se publican en un canal de telegrama a través de API.
En respuesta a los hallazgos, OpenAI ha deshabilitado la secreto API y otros activos asociados utilizados por los actores de amenaza.
«El autor o los autores han invertido un esfuerzo significativo en la capacidad de este BOT para evitar las tecnologías Captcha de uso popular, lo que demuestra que los operadores están motivados para violar las protecciones del proveedor de servicios», dijeron los investigadores. «El uso de Akirabot del contenido de mensajes de spam generado por LLM demuestra los desafíos emergentes que AI plantea para defender los sitios web contra los ataques con spam».
El mejora coincide con la aparición de una utensilio de delito cibernético denominado Xanthorox AI que se comercializa como un chatbot todo en uno para manejar la vivientes de códigos, el mejora de malware, la explotación de vulnerabilidad y el descomposición de datos. La plataforma además admite la interacción basada en la voz a través de llamadas de voz en tiempo verdadero y mensajes de voz asincrónicos.
«Xanthorox Ai funciona con cinco modelos distintos, cada uno optimizado para diferentes tareas operativas», dijo Slashnext. «Estos modelos se ejecutan completamente en servidores locales controlados por el comerciante, en zona de desplegarse sobre la infraestructura de la cúmulo pública o mediante API expuestas. Este enfoque regional primero reduce las posibilidades de detección, mate o trazabilidad».
(La historia se actualizó luego de la publicación para incluir ideas adicionales de Sentinelone).
