Авторы стилеров маскируют зловреды под ИИ-ассистенты

Авторы стилеров маскируют зловреды под ИИ-ассистенты

Авторы стилеров маскируют зловреды под ИИ-ассистенты

Злоумышленники активно распространяют вредоносные копии популярных ИИ-ассистентов, таких как ChatGPT, DeepSeek и Google Gemini. Чаще всего эти подделки используются для распространения стилеров — вредоносных программ, перехватывающих учетные данные пользователей, как из публичных сервисов, так и из корпоративных систем.

По данным экспертов, опрошенных «Известиями», стилеры остаются востребованным инструментом среди киберпреступников благодаря своей простоте, доступности и распространенности в даркнете. Согласно данным «Информзащиты», в 2024 году число атак с их использованием увеличилось на 54% по сравнению с предыдущим годом.

Как пояснила руководитель ИТ-подразделения агентства «Полилог» Людмила Богатырева, злоумышленники нередко распространяют стилеры через фальшивые версии официальных приложений госструктур и банков, копируя их внешний вид и функциональность.

«Часто такие программы распространяются через фишинговые письма со вложенными файлами или ссылками на зараженные ресурсы. Злоумышленники маскируются под представителей госорганов, контрагентов, специалистов техподдержки или HR-отделов. Сегодня в области кибербезопасности активно используются ИИ-решения для выявления подобных угроз, однако сами мошенники также применяют искусственный интеллект для повышения реалистичности своих атак», — отметила она.

Пример одной из таких атак привели в «Информзащите»: сотрудники компании получили фишинговое письмо якобы от партнера-логиста с прикрепленными документами. Один из сотрудников загрузил и открыл файл, после чего стилер оказался на его устройстве.

Вредоносная программа украла его учетные данные и перехватила одноразовый код из СМС для обхода двухфакторной аутентификации. Получив доступ к корпоративной системе, хакеры похитили конфиденциальные данные компании и потребовали за них выкуп в несколько сотен тысяч рублей.

Старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова отметила, что мошенники создают поддельные сервисы, имитирующие популярные ИИ-ассистенты. Это позволяет им одновременно собирать данные, перехваченные стилерами, и получать доступ к учетным записям пользователей.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин обратил внимание на то, что в даркнете можно найти базы данных, собранные стилерами. Кроме того, появились бесплатные генераторы вредоносного кода, доступные даже тем, кто не имеет средств или технических возможностей для приобретения коммерческих вредоносных программ по модели «вирус как сервис».

Некоторые стилеры становятся все более сложными и трудно обнаруживаются средствами защиты. Например, новые штаммы GuLoader практически незаметны для антивирусных программ.

В Министерстве цифрового развития рекомендуют соблюдать базовые меры предосторожности:

  • Критически относиться к ссылкам, по которым переходите,
  • Избегать установки приложений из непроверенных источников,
  • Не передавать никому логины, пароли и коды двухфакторной аутентификации.

Для защиты компаний директор по клиентской безопасности Selectel Денис Полянский выделил три ключевых правила:

  1. Настроить защиту корпоративной почты,
  2. Обеспечить антивирусную защиту всех рабочих устройств, включая Linux-системы,
  3. Регулярно обучать сотрудников методам кибербезопасности и выявления мошеннических схем.

По прогнозам специалистов, стилеры останутся одной из значимых угроз в 2025 году.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

TARmageddon в Rust-библиотеке async-tar грозит удалённым выполнением кода

Исследователи в области кибербезопасности раскрыли детали серьёзной уязвимости в популярной библиотеке async-tar для языка Rust и её форках, включая tokio-tar. Брешь получила идентификатор CVE-2025-62518 и 8,1 балла по CVSS — это высокий уровень опасности. Эксперты назвали дыру TARmageddon.

По данным компании Edera, которая обнаружила баг в августе 2025 года, уязвимость может привести к удалённому выполнению кода (RCE), если злоумышленнику удастся перезаписать важные файлы — например, конфигурации или компоненты системы сборки.

Async-tar и её производные библиотеки используются в таких проектах, как testcontainers и wasmCloud. Ошибка связана с тем, как библиотека обрабатывает TAR-архивы с расширенными заголовками PAX и ustar. Из-за неправильного определения границ файлов библиотека может «спутать» данные и воспринять часть содержимого архива как новые файлы.

В итоге атакующий может «встроить» во вложенный TAR дополнительные файлы и заставить библиотеку при распаковке перезаписать легитимные данные — что при определённых условиях позволяет выполнить произвольный код.

Особенно тревожно то, что одна из уязвимых библиотек, tokio-tar, фактически больше не поддерживается. Последнее обновление вышло ещё в июле 2023 года, но она по-прежнему активно скачивается через crates.io.

Патча для неё нет, поэтому пользователям советуют перейти на astral-tokio-tar, где в версии 0.5.6 ошибка уже исправлена.

Как объяснил разработчик Astral Уильям Вудрафф, баг связан с тем, как библиотека интерпретирует размеры файлов. В заголовке ustar размер может быть указан как ноль, тогда как расширенный PAX-заголовок содержит правильное значение. В результате библиотека «пропускает» настоящий файл и начинает читать внутренний архив как новый слой.

Это позволяет злоумышленнику спрятать внутри TAR-файла ещё один TAR, который при распаковке перезапишет нужные файлы. Например, подменить pyproject.toml в Python-пакете на вредоносный и изменить процесс сборки.

Edera отметила, что даже безопасные языки вроде Rust не защищают от логических ошибок.

«Rust действительно снижает риск уязвимостей вроде переполнений буфера, но полностью исключить логические баги невозможно. В данном случае проблема именно в логике обработки данных», — заявили исследователи.

Эксперты советуют разработчикам внимательно проверять используемые библиотеки, обновлять зависимости и не полагаться исключительно на язык как гарантию безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru