Браузер сам покупает Apple Watch и сливает ваши пароли. А вы и дальше доверяйте ИИ

Поддельные магазины, автозаполнение карт и ни одного подозрения.

В лаборатории Guardio Labs обнаружили новую технику обмана искусственного интеллекта, названную PromptFix. Суть метода заключается в том, что в фальшивую CAPTCHA, размещенную на веб-странице, внедряется вредоносная команда. Когда браузеры, оснащенные автономным ИИ, такие как Perplexity Comet, сталкиваются с подобным элементом, они автоматически выполняют запрограммированные злоумышленником действия. Например, переходят на фишинговые ресурсы или совершают покупки в поддельных интернет-магазинах, не уведомляя об этом владельца устройства.

Guardio характеризует эту угрозу как «ИИ-эру ClickFix» и подчеркивает ее отличие от предыдущих подходов. Вместо попыток взломать систему, исследователи применяют психологическое давление, подобное социальной инженерии, эксплуатируя встроенную функцию помощи пользователю. Это приводит к возникновению явления под названием Scamlexity (комбинация слов scam и complexity), что отражает новую реальность, где автономные агенты становятся орудием мошенничества.

В ходе тестирования Comet в некоторых случаях самостоятельно добавлял товары в корзину, автоматически подставлял сохраненные адреса и данные банковских карт, оформляя заказы на поддельных платформах. Иногда требовалось подтверждение пользователя, но зачастую процесс завершался полностью автоматически. Более того, команда “проверить электронную почту на наличие задач” приводила к тому, что ИИ открывал спам-письма, якобы от банков, переходил по ссылкам и вводил данные для входа на фальшивых сайтах, подтверждая их подлинность. В таких случаях пользователь не видел сомнительного отправителя и не замечал подмены домена.

PromptFix также позволяет скрывать команды в невидимых элементах страницы. На их основе браузер щелкает по “кнопкам”, обходит CAPTCHA и скачивает вредоносные файлы, совершая полноценную drive-by атаку. Guardio отмечает, что этот метод работал не только с Comet, но и с агентным режимом ChatGPT. В последнем случае загруженные файлы попадали в изолированную среду, что снижает риск, но не исключает его.

Эксперты подчеркивают необходимость разработки систем защиты, способных предвидеть такие сценарии, а не просто реагировать на них. Речь идет о многоуровневой защите, включающей проверку репутации URL, выявление фишинга, обнаружение поддельных доменов и анализ загружаемых файлов. Это особенно важно, учитывая активное использование злоумышленниками генеративных инструментов для создания фишингового контента, копирования брендов и массового развертывания поддельных сайтов с помощью low-code платформ.

Исследователи также обратили внимание на ИИ-сервис Lovable, который ранее был уязвим к VibeScamming. Были зафиксированы случаи распространения фишинговых наборов, вредоносных загрузчиков и криптодрейнеров. Жертвы часто попадали сначала на страницу с CAPTCHA, а затем перенаправлялись на сайт, замаскированный под Microsoft или логистическую компанию, где у них выманивали личные данные и платежную информацию, а также внедряли трояны, такие как zgRAT. URL-адреса Lovable также использовались в мошеннических инвестиционных схемах. Компания удалила скомпрометированные сайты и внедрила защитные меры.

Отмечаются также кампании с использованием дипфейков в YouTube и социальных сетях для продвижения поддельных инвестиционных платформ. Жертвам предлагают внести от 100 до 250 долларов для активации “счета”, а затем требуют подтвердить личность и предоставить данные платежных систем. Подобные операции выявлены в Индии, Германии, Франции, Великобритании, Японии, Турции и других странах, при этом доступ пользователям из США и Израиля блокируется.

Эксперты Group-IB и CrowdStrike подчеркивают, что генеративные модели повышают эффективность злоумышленников, автоматизируя социальную инженерию и расширяя масштабы кампаний. По мере того, как эти инструменты становятся проще и доступнее, количество злоупотреблений будет расти.