Los investigadores de ciberseguridad han descubierto una nueva técnica que los ciberdelincuentes han adoptado para eludir las protecciones contra la publicidad maliciosa de la plataforma de redes sociales X y propagar enlaces maliciosos utilizando Grok, su asistente de inteligencia artificial (IA).
Los hallazgos fueron resaltado de Nati Tal, directora de Guardio Labs, en una serie de publicaciones sobre X. La técnica lleva el nombre en clave de Grokking.
El enfoque está diseñado para sortear las restricciones impuestas por X en Anuncios promocionados que permiten a los usuarios incluir solo texto, imágenes o vídeos y, posteriormente, ampliarlos a un público más amplio, atrayendo cientos de miles de impresiones a través de promociones pagas.
Para ello, se ha descubierto que los anunciantes malintencionados publican publicaciones promocionadas con tarjetas de vídeo con contenido para adultos como cebo, y el enlace falso está oculto en el campo de metadatos «De:», situado debajo del reproductor de vídeo, que al parecer no ha sido escaneado por la plataforma de redes sociales.
En el siguiente paso, los estafadores etiquetan a Grok en las respuestas a la publicación y le preguntan algo parecido a «¿de dónde es este vídeo? », lo que hace que el chatbot de la IA muestre de forma visible el enlace en respuesta.
«Además, ahora se ha ampliado en términos de SEO y reputación de dominio; al fin y al cabo, Grok se hizo eco de ello en una publicación con millones de impresiones», afirma Tal.
«Un enlace malicioso que X prohíbe explícitamente en los anuncios (¡y debería haberse bloqueado por completo!) aparece de repente en una publicación de la cuenta Grok, que es una empresa de confianza del sistema, pasando a formar parte de un hilo promocionado por un virus, ¡y se ha difundido directamente en millones de feeds y resultados de búsqueda!»
Guardio dijo que los enlaces dirigen a los usuarios a redes publicitarias incompletas y los envían a enlaces maliciosos que empujan estafas CAPTCHA falsas , malware que roba información y otros contenidos sospechosos a través de un enlace directo (también conocido como enlace inteligente ) monetización.
Se evalúa que los dominios forman parte del mismo sistema de distribución de tráfico (TDS), que suelen utilizar vendedores de tecnología publicitaria maliciosos para dirigir el tráfico a contenido dañino o engañoso.
La empresa de ciberseguridad dijo a The Hacker News que ha descubierto cientos de cuentas que han tenido este comportamiento en los últimos días, y cada una de ellas ha publicado cientos o incluso miles de publicaciones similares.
«Parece que publican sin parar durante varios días hasta que se suspende la cuenta por infringir las políticas de la plataforma», añadió. «Así que definitivamente hay muchos de ellos y parece que está muy organizado».