ЛК проанализировала семейство вредоносных поисковых тулбаров

Александр Панасенко 21 Марта 2014 - 14:00

...

За последний год многие пользователи по всему миру столкнулись с разнообразием агрессивно ведущих себя многокомпонентных систем, якобы предоставляющих жертве механизмы поиска информации в Сети. Эти программы подменяют домашние страницы в браузерах, изменяют выдачу поисковых результатов и не могут быть удалены штатными средствами. «Лаборатория Касперского» провела анализ семейства таких программ.

Одним из методов недобросовестной раскрутки веб-сайтов является предоставление пользователям страницы поисковой выдачи с адресами этих сайтов, расположенными на первых местах. Для этого, в частности, используются специальные дополнения к браузерам – так называемые поисковые тулбары, которые перенаправляют пользователя на страницу с нерелевантными рекламными результатами. Практическая реализация данной схемы подразумевает участие многих лиц (разработчиков, веб-мастеров и владельцев сайтов), объединенных во взаимовыгодные партнерские программы.

Такие поисковые тулбары используют общую стороннюю библиотеку Bitguard, которая признается вредоносной, так как обладает функционалом модификации настройки браузеров без ведома пользователя, внедрения своего кода в сторонние процессы и скачивания вредоносных файлов из Сети. Чаще всего тулбары распространяют на сайтах с бесплатными программами: они могут идти в комплекте как с инсталлятором-пустышкой, так и с легальным бесплатным ПО. Иногда пользователя побуждают установить поисковый тулбар целенаправленно, а не в качестве приложения к стороннему инсталлятору. В таком случае владельцы тулбара стремятся заинтересовать потенциального «клиента» как красивым дизайном веб-страницы загрузки, так и смелыми обещаниями по его функционалу: удобство использования, надежность, «оптимальный онлайн-поиск», «лучшее из того, что имеется на рынке».

Географическое распределение попыток заражения компьютеров компонентами BitGuard

После завершения установки общая для всех тулбаров библиотека BitGuard получает возможность проверять изменения конфигурации браузеров и возвращать собственные поисковые настройки. Библиотека умеет работать с Internet Explorer, Chrome, Firefox, Opera и прочими браузерами, используя индивидуальный подход к каждому из них. В результате пользователи, ожидающие релевантный результат поиска, перенаправляются на страницу, где не относящиеся к запросу ссылки на раскручиваемые сайты занимают верхние строчки. Пользователи, переходя на сайт рекламодателя, обеспечивают ему аудиторию, а владельцам тулбара – доход.

«У злоумышленников происходит четкое разделение труда: разработчики библиотеки BitGuard фокусируются на совершенствовании механизмов подмены параметров браузера и добавлении откровенно вредоносного функционала, а владельцы тулбаров занимаются косметическими аспектами и налаживанием схемы распространения. Решения наподобие BitGuard пользуются широким спросом в среде партнерских программ, и этим объясняется то, что с конца августа прошлого года компоненты BitGuard были заблокированы у 3,8 миллионов пользователей во всем мире. Библиотека продолжает применяться для создания разных модификаций подобных тулбаров. Однако это не является преградой для наших защитных решений – они автоматически выявляют все новые модификации этих вредоносных программ», – отметил Олег Юрзин, антивирусный специалист «Лаборатории Касперского».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Ноября 2025 - 09:12

Уязвимости программ Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Корпорации

В ChatGPT нашли семь уязвимостей, сливающих данные пользователей

Исследователи из компании Tenable сообщили о серии уязвимостей, затрагивающих модели GPT-4o и GPT-5, которые лежат в основе ChatGPT. Эти дыры позволяют злоумышленникам похищать личные данные пользователей из памяти и истории переписки бота — без ведома самих пользователей.

Всего специалисты выявили семь векторов атак, часть из которых OpenAI уже устранила. Главная проблема — так называемые «непрямые инъекции промпта» (indirect prompt injection).

С их помощью можно обмануть искусственный интеллект и заставить его выполнять вредоносные инструкции, даже если пользователь ничего не подозревает.

Среди найденных методов — внедрение команд через вредоносные сайты, запросы к ChatGPT с поддельными ссылками или командами, маскированными под разрешённые домены (например, через bing.com), а также скрытие вредоносных инструкций в коде веб-страниц. В одном из сценариев атаки злоумышленник мог «отравить» память ChatGPT, добавив туда свои команды через сайт, который пользователь попросил бота кратко пересказать.

Подобные инъекции не требуют от пользователя кликов или загрузки файлов — достаточно обычного запроса вроде «расскажи, что написано на этом сайте». Если страница уже проиндексирована поисковиком, ИИ мог выполнить вредоносный код автоматически.

Tenable отмечает, что такие атаки — проблема не только OpenAI. За последние месяцы исследователи обнаруживали похожие уязвимости в Claude, Copilot, и других ИИ-инструментах. Некоторые позволяли похищать данные, обходить фильтры безопасности или подменять ответы модели.

По словам экспертов, полностью устранить угрозу инъекций промпта в ближайшее время вряд ли удастся. Они рекомендуют разработчикам ИИ-сервисов тщательнее проверять механизмы безопасности и фильтры URL, чтобы свести риски к минимуму.

Не так давно мы рассуждали на тему «можно ли доверять GenAI». Рассматривали галлюцинации и контроль достоверности ИИ.