AkiraBot
A SentinelOne részletes elemzést közölt az AkiraBot nevű, mesterséges intelligenciát alkalmazó spamkeretrendszerről, amely kis- és középvállalkozások weboldalait célozza tömeges automatizált üzenetküldéssel. A Pythonban írt AkiraBot főként kapcsolatfelvételi űrlapokat és élő chatfelületeket használ ki, hogy SEO-szolgáltatásokat reklámozó spamüzeneteket juttasson célba. A támadások különösen veszélyesek, mivel a spamüzenetek egyediek és nehezen szűrhetők, mivel azokat a célzott weboldal tartalmához illeszkedően generálja egy OpenAI API-ra épülő LLM – például a GPT-4o-mini.
Az AkiraBot működése rendkívül összetett és moduláris. A támadók szkripteket futtatnak, amelyek különféle weboldaltechnológiákat céloznak, például Shopify, GoDaddy, Wix, Squarespace rendszereket. A rendszer képes weboldalak tartalmát automatikusan lekérni, HTML-ből kulcsszavakat kinyerni, majd ezek alapján testreszabott üzenetet generálni. A sablonalapú AI promptot a rendszer úgy alakítja, hogy mindig új, személyre szabott marketing szöveget hoz létre, így a spam tartalma nem ismétlődik, és nehezebben észlelhető.
Az egyik legnagyobb fenyegetést a CAPTCHA-megkerülési képesség jelenti. Az AkiraBot olyan szolgáltatásokat használ, mint a Capsolver, FastCaptcha és NextCaptcha, hogy megkerülje a reCAPTCHA és hCAPTCHA mechanizmusokat, beleértve a Cloudflare védelmét is. Emellett a bot Selenium-alapú böngészőemulációt alkalmaz, és egyedi JavaScript-kódot injektál a weboldalak DOM-struktúrájába. A cél az, hogy a rendszer úgy nézzen ki, mintha valódi felhasználó böngészne, módosítva a hangmotorokat, grafikus profilokat, telepített betűtípusokat, böngészőattribútumokat, rendszermemóriát, CPU-információkat és időzónát. Így a bot képes elkerülni a böngészőalapú fingerprintinget is.
A hálózati észlelés kijátszására az AkiraBot SmartProxy szolgáltatást használ, amely adatközponti, mobil és lakossági IP-címeket biztosít. Minden eddig elemzett botverzió ugyanazokat a proxy-hitelesítő adatokat használta, ami arra utal, hogy ugyanazon támadó áll mögöttük.
A SentinelOne szerint az AkiraBot legalább 400 000 weboldalt célzott meg 2024 szeptembere óta, ebből legalább 80 000-nél sikeres spamküldést hajtott végre. A rendszer grafikus kezelőfelülettel is rendelkezik, amelyen keresztül a támadó megadhatja a célpontlistát, figyelheti a sikerességi arányt, és beállíthatja az egyidejűleg futó szálak számát.
