Onderzoek onthult geavanceerde tool voor geautomatiseerde spamcampagnes
Een recent onderzoek van SentinelOne heeft een nieuwe, zeer geavanceerde tool onthuld die gebruikmaakt van taalmodellen en ontwijkende technieken om spam te verzenden naar honderden duizenden websites. De tool, genaamd AkiraBot, markeert een nieuwe mijlpaal in de automatisering van webspam.
Wat is AkiraBot?
AkiraBot is een kwaadaardig framework dat is ontwikkeld in Python. Sinds september 2024 is deze tool gebruikt om massale spamcampagnes te voeren tegen meer dan 400.000 domeinen, waarbij promotionele berichten zijn ingevoegd op minstens 80.000 websites. Wat deze tool bijzonder maakt, is de integratie met de OpenAI API, waardoor AkiraBot unieke berichten kan genereren voor elke website die het aanvalt.
Geavanceerde functionaliteiten
AkiraBot doet dit door de inhoud van de doelwebsite te scrapen en marketingberichten aan te passen zodat ze authentiek lijken. De spam richt zich vaak op zogenaamd SEO-diensten via domeinen zoals useakira[.]com en servicewrap[.]com. De toepassing van grote taalmodellen (LLMs) stelt AkiraBot in staat om overtuigende en gevarieerde teksten te genereren, waardoor het effectiever in staat is om antispamfilters te omzeilen die doorgaans herhalende inhoud blokkeren.
Technische geavanceerdheid
Daarnaast is AkiraBot ontworpen om veelvoorkomende technische barrières te overwinden. Het maakt gebruik van headless browsers, browserfingerprint-manipulatie, draaiende proxies en verschillende externe diensten om CAPTCHA’s op te lossen, zoals FastCaptcha en NextCaptcha. Er worden ook scripts gebruikt die het DOM van de website in realtime aanpassen om het gedrag van een menselijke gebruiker te simuleren.
Infrastructuur en controle
AkiraBot wordt bestuurd vanaf Windows-systemen, waar verschillende scripts en versies van het framework worden uitgevoerd. Er zijn functies geïdentificeerd die het mogelijk maken voor de operator om metrics en resultaten rechtstreeks via Telegram te beheren, met behulp van geautomatiseerde bots die realtime gegevens rapporteren. SentinelOne heeft opgemerkt dat alle geanalyseerde scripts dezelfde proxy-credentials en API-sleutels delen, wat erop wijst dat er waarschijnlijk één enkele actor of groep achter het project zit.
Legitimiteit van de spamdiensten
Hoewel de inhoud van de spam SEO-diensten promoot, wekt de geautomatiseerde, massale en ontwijkende verdeling van deze berichten serieuze twijfels over de legitimiteit van deze bedrijven. Recensies op platforms zoals TrustPilot, die verdachte gedragspatronen vertonen, ondersteunen de hypothese dat ten minste een deel van de positieve beoordelingen nep of automatisch gegenereerd is.
Een groeiende uitdaging
AkiraBot is een duidelijk voorbeeld van de nieuwe emergente bedreigingen die kunstmatige intelligentie en automatisering combineren om traditionele webbeveiligingssystemen te omzeilen. De moeilijkheid om gemeenschappelijke patronen in de berichten te detecteren en de snelle aanpassingscapaciteit van de bot aan nieuwe beschermtechnologieën maakt het bijzonder complex om deze dreigingen te mitigeren.
Vanuit OpenAI, de verantwoordelijke voor het gebruikte taalmodel, is bevestigd dat de API-sleutel is ingetrokken na het bekend worden van het misbruik. "We nemen het misbruik van onze diensten zeer serieus en verbeteren continu onze tools om deze gevallen te detecteren," aldus hun verklaring.
Conclusie
AkiraBot is niet zomaar een spambot; het is een spiegel van hoe AI-technologieën door kwaadwillende actoren kunnen worden benut om op grote schaal operaties uit te voeren met ongekende effectiviteit en personalisatie. In dit nieuwe paradigma moeten platforms, ontwikkelaars en webbeveiligingsdeskundigen dynamischere en preventievere benaderingen toepassen om dit soort dreigingen te bestrijden.
Bron: Beveiligingsnieuws