Злоумышленники используют доверенные платформы, включая Google Ads, страницы GitLab и функцию общего чата Claude, чтобы обманом заставить пользователей выполнять вредоносные команды в своих системах.
Маскируясь под популярные инструменты для разработчиков на базе ИИ, злоумышленники применяли атаки социальной инженерии типа ClickFix, в ходе которых жертв обманом вынуждали вручную выполнять вредоносные команды. Как правило, это заключалось в копировании и вставке команд PowerShell или терминала, отметили исследователи TrendAI.
Кампания перенаправила более 2000 жертв с рекламных результатов поиска Google по популярным инструментам для разработчиков ИИ на вредоносные страницы загрузки, а затем использовала функцию общего чата claude.ai как еще один этап в цепочке атак.
Кампания демонстрирует, как злоумышленники используют доверие к широко используемым ИИ-платформам, чтобы сделать атаки социальной инженерии более убедительными и трудными для обнаружения.
Внутри кампании из шести волн
В отличие от традиционных кампаний по распространению вредоносного ПО, которые полагаются на подозрительные домены или поддельные сайты для загрузки, эта цепочка атак была построена почти полностью на легитимных сервисах. Злоумышленники использовали 92 уникальных вредоносных хостнейма на страницах GitLab, выдавали себя за легитимные бренды, включая ChatGPT Codex, Perplexity, Cursor IDE, JetBrains, Claude AI и claude.ai, и одновременно разворачивали приманки в виде утилит для Mac.
Кампания распространялась в течение семи недель, при этом еженедельные кампании представляли новые страницы и ключевые слова.
Первая волна кампании началась 8–13 апреля, где основной приманкой служил claude-code-app.gitlab[.]io, поддерживаемый claudeapp.gitlab[.]io. Одновременно были обнаружены приманки, связанные с утилитами для Mac (mac-clean-storage.gitlab[.]io, mac-guide-tool.gitlab[.]io). В ходе этой волны одна кампания Google Ads с идентификатором (23736589328) обеспечила большую часть трафика.
В ходе следующей волны, с 14 по 21 апреля, кампания была диверсифицирована новыми вариантами, связанными с Claude, включая домен gitlab.io (claude-tool-app, claud-desktop-app, claudesktop, claude-desktop-apps) наряду с расширенными приманками для утилит Mac (macsupp-group, macsupp-usb, jetbrains-apps-group).
Имитация брендов была расширена в ходе третьей волны с введением perplexity-platform.gitlab.io и chatgpt-codex.gitlab[.]io, а также созданием claude-desktop-lm.gitlab[.]io и cladesktop.gitlab[.]io.
В ходе четвертой волны, с 29 апреля по 5 мая, операторы значительно сместили акцент на брендинг ChatGPT и Codex с использованием codexgpt.gitlab[.]io, chatgpt-codex-app.gitlab[.]io и chatgpt-codex-lm.gitlab[.]io, в то время как атаки, связанные с Claude, продолжались.
В пятой волне, с 6 по 14 мая, злоумышленники перенесли свою кампанию с самостоятельно размещенных страниц GitLab на злоупотребление легитимной функцией общего чата claude.ai. Для этого, как утверждают исследователи, использовалась функция «поделиться» claude.ai для создания постоянных, общедоступных URL-адресов на полностью доверенном домене, а затем Google Ads использовался для направления жертв на эти скомпрометированные страницы.
В ходе шестой волны, с 21 мая по 14 июня, злоумышленники полностью переключились на функцию общего чата claude.ai.
По мнению экспертов, кампания, по всей видимости, была разработана в первую очередь для нацеливания на разработчиков и технических пользователей.
«Взаимодействие с Claude может восприниматься как надежное, поскольку пользователи привыкли считать инструменты ИИ источниками советов по производительности и технической помощи. В этом сценарии, когда пользователям предоставляются вредоносные инструкции через платформу ИИ, высока вероятность того, что они автоматически их выполнят», — пояснил Девруп Дхар, соучредитель и генеральный директор Primus Partners в Индии.
Защита, основанная на репутации, оказалась неэффективной
Эксперты по безопасности заявляют, что успех кампании обусловлен ее способностью задействовать доверенные платформы на каждом этапе цепочки атак, что заставляло вредоносную активность выглядеть как обычное поведение пользователя.
«Что делает эту цепочку атак особенно эффективной, так это то, что она не требует от жертвы доверять чему-то откровенно подозрительному. Вместо этого она заимствует доверие у знакомых брендов, легитимной рекламной инфраструктуры, авторитетного хостинга и ИИ-платформы, которую многие разработчики уже используют в своей повседневной работе. Это снизило психологическое сопротивление, которое обычно заставляет пользователей задуматься, прежде чем что-то нажать или выполнить», — сказал Амит Джаджу, старший управляющий директор Ankura Consulting.
Это также яркий пример «стекирования доверия». Каждый слой выглядит по отдельности легитимным, поэтому вся цепочка кажется более безопасной, чем она есть на самом деле, добавил Джаджу.
Используя платформы, которые организации обычно разрешают и которым доверяют, злоумышленникам удалось встроить вредоносную активность в обычные рабочие процессы пользователей, что значительно усложнило обнаружение.
Дхар добавил, что в большинстве случаев доступ к таким приложениям, как Google, GitLab и ИИ-приложениям, не блокируется, поскольку это может помешать работе организации. Репутационные системы безопасности здесь не могут работать эффективно, поскольку рассматриваемый домен считается авторитетным, а это означает, что сотрудникам службы безопасности придется глубже изучать поведение и действия пользователей.
Разрыв цепочки атак
Если разработчик становится жертвой, радиус поражения может быть намного больше, чем при компрометации обычного пользователя. Джаджу предупредил, что на машине разработчика часто находятся файлы cookie сеансов браузера, токены SSO, SSH-ключи, учетные данные Git, исходный код, токены облачных CLI, учетные данные менеджера пакетов, секреты, хранящиеся в локальных файлах, а также доступ к внутренней документации или платформам для совместной работы.
Оттуда злоумышленники могут проникнуть в репозитории кода, конвейеры CI/CD, облачные среды, реестры контейнеров, системы тикетов и корпоративные мессенджеры. В некоторых случаях им может даже не понадобиться красть пароли, поскольку токенов сеанса или аутентифицированных сеансов браузера достаточно, чтобы обойти часть стека безопасности.
Хотя кампания в значительной степени опиралась на доверенные платформы, организации все же могут пресекать атаки на нескольких точках.
Дхар отметил, что первое, что нужно понять, это то, что не все кибератаки обязательно требуют вредоносного ПО. В наши дни все больше злоумышленников пытаются убедить жертв выполнять действия самостоятельно. Следовательно, одним из решений может быть ограничение необоснованных административных привилегий, мониторинг выполнения команд в shell и PowerShell, а также обнаружение любого подозрительного поведения. Кроме того, ПК разработчиков может потребоваться мониторинг из-за высокого уровня доступа, которым они обладают.
С точки зрения контроля, предприятиям следует ограничить локальные права администратора и обеспечить принцип наименьших привилегий на конечных точках разработчиков. Им также следует сегментировать среды разработчиков и, по возможности, отделять просмотр веб-страниц с высоким риском от привилегированных инженерных рабочих процессов, добавил Джаджу.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Nidhi Singal
