ЛК проанализировала семейство вредоносных поисковых тулбаров
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

ЛК проанализировала семейство вредоносных поисковых тулбаров

Александр Панасенко 21 Марта 2014 - 14:00
...

За последний год многие пользователи по всему миру столкнулись с разнообразием агрессивно ведущих себя многокомпонентных систем, якобы предоставляющих жертве механизмы поиска информации в Сети. Эти программы подменяют домашние страницы в браузерах, изменяют выдачу поисковых результатов и не могут быть удалены штатными средствами. «Лаборатория Касперского» провела анализ семейства таких программ.

Одним из методов недобросовестной раскрутки веб-сайтов является предоставление пользователям страницы поисковой выдачи с адресами этих сайтов, расположенными на первых местах. Для этого, в частности, используются специальные дополнения к браузерам – так называемые поисковые тулбары, которые перенаправляют пользователя на страницу с нерелевантными рекламными результатами. Практическая реализация данной схемы подразумевает участие многих лиц (разработчиков, веб-мастеров и владельцев сайтов), объединенных во взаимовыгодные партнерские программы.

Такие поисковые тулбары используют общую стороннюю библиотеку Bitguard, которая признается вредоносной, так как обладает функционалом модификации настройки браузеров без ведома пользователя, внедрения своего кода в сторонние процессы и скачивания вредоносных файлов из Сети. Чаще всего тулбары распространяют на сайтах с бесплатными программами: они могут идти в комплекте как с инсталлятором-пустышкой, так и с легальным бесплатным ПО. Иногда пользователя побуждают установить поисковый тулбар целенаправленно, а не в качестве приложения к стороннему инсталлятору. В таком случае владельцы тулбара стремятся заинтересовать потенциального «клиента» как красивым дизайном веб-страницы загрузки, так и смелыми обещаниями по его функционалу: удобство использования, надежность, «оптимальный онлайн-поиск», «лучшее из того, что имеется на рынке».

 

Географическое распределение попыток заражения компьютеров компонентами BitGuard


После завершения установки общая для всех тулбаров библиотека BitGuard получает возможность проверять изменения конфигурации браузеров и возвращать собственные поисковые настройки. Библиотека умеет работать с Internet Explorer, Chrome, Firefox, Opera и прочими браузерами, используя индивидуальный подход к каждому из них. В результате пользователи, ожидающие релевантный результат поиска, перенаправляются на страницу, где не относящиеся к запросу ссылки на раскручиваемые сайты занимают верхние строчки. Пользователи, переходя на сайт рекламодателя, обеспечивают ему аудиторию, а владельцам тулбара – доход.

«У злоумышленников происходит четкое разделение труда: разработчики библиотеки BitGuard фокусируются на совершенствовании механизмов подмены параметров браузера и добавлении откровенно вредоносного функционала, а владельцы тулбаров занимаются косметическими аспектами и налаживанием схемы распространения. Решения наподобие BitGuard пользуются широким спросом в среде партнерских программ, и этим объясняется то, что с конца августа прошлого года компоненты BitGuard были заблокированы у 3,8 миллионов пользователей во всем мире. Библиотека продолжает применяться для создания разных модификаций подобных тулбаров. Однако это не является преградой для наших защитных решений – они автоматически выявляют все новые модификации этих вредоносных программ», – отметил Олег Юрзин, антивирусный специалист «Лаборатории Касперского».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код
Екатерина Быстрова 06 Ноября 2025 - 09:52
Трояны Домашние пользователиКорпорации Google
Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код

Google сообщила о новой экспериментальной вредоносной программе, использующей искусственный интеллект для изменения собственного кода и сокрытия в целевой системе. Речь идет о PROMPTFLUX — вредоносном скрипте на VB Script, который взаимодействует с API Gemini, запрашивая у модели варианты обфускации и обхода антивирусных систем.

Как пояснили специалисты из Google Threat Intelligence Group (GTIG), PROMPTFLUX обращается к Gemini 1.5 Flash (и более поздним версиям), чтобы получать обновлённый код, способный обойти сигнатурное обнаружение.

Вредоносный скрипт использует встроенный API-ключ для отправки запросов напрямую к API Gemini и сохраняет новые версии в папке автозагрузки Windows.

Интересно, что внутри скрипта есть функция саморегенерации — AttemptToUpdateSelf. Хотя она закомментирована и неактивна, наличие логов взаимодействия с ИИ в файле thinking_robot_log.txt говорит о том, что авторы планируют создать «саморазвивающийся» вредоносный код.

 

Google отмечает, что существует несколько вариаций PROMPTFLUX, и в одной из них ИИ получает задачу полностью переписывать код скрипта каждый час. Однако на данный момент программа находится на стадии разработки и не способна заражать устройства. Судя по всему, за проектом стоит группа с финансовой мотивацией, а не государственные хакеры.

Некоторые эксперты, впрочем, считают, что история преувеличена. Исследователь Марк Хатчинс (Marcus Hutchins) заявил, что PROMPTFLUX не демонстрирует реальных признаков «умного» поведения:

«Модель Gemini не знает, как обходить антивирусы. Кроме того, код не имеет механизмов, гарантирующих уникальность или стабильность работы. А функция модификации кода даже не используется».

Тем не менее специалисты Google предупреждают, что злоумышленники активно экспериментируют с использованием ИИ не только для автоматизации задач, но и для создания вредоносных инструментов, которые способны адаптироваться «на лету».

Среди других примеров ИИ-вредоносов, обнаруженных Google, упоминаются:

  • FRUITSHELL — обратная оболочка на PowerShell, обученная обходить системы на основе LLM;
  • PROMPTLOCK — кросс-платформенный вымогатель на Go, использующий LLM для генерации вредоносных скриптов на Lua;
  • PROMPTSTEAL (LAMEHUG) — инструмент, применявшийся группировкой APT28 для атак на Украину;
  • QUIETVAULT — JavaScript-зловред, крадущий токены GitHub и NPM.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Новая версия LockBit 5.0 шифрует Windows, Linux и ESXi
Новость
Новая версия LockBit 5.0 шифрует Windows, Linux и ESXi
Правоохранительные органы смогут ограничивать ИТ-услуги
Новость
Правоохранительные органы смогут ограничивать ИТ-услуги
Спектакль для жертвы: мошенники провели межведомственное совещание в Zoom
Новость
Спектакль для жертвы: мошенники провели межведомственное сов...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.