2023 年 2 月,微软披露了其新的人工智能辅助搜索引擎 Bing Chat,由 OpenAI 的 GPT-4 提供支持。尽管谷歌多年来一直在搜索行业占据主导地位,但这一事件的意义重大,不仅足以引起人们的兴趣,而且还为未来可能发生的平衡变化埋下了种子。
考虑到科技巨头的大部分收入来自广告,微软在 Bing Chat 发布后不久将广告引入也就不足为奇了。然而,在线广告具有固有的风险。在此博客中,我们展示了如何诱骗搜索软件下载的用户访问恶意网站并直接从 Bing Chat 对话安装恶意软件。
通过 Bing Chat 对话进行恶意广告
Bing Chat 是一款交互式文本和图像应用程序,可为在线搜索提供截然不同的体验。公开六个月后,微软 通过超过 10 亿次聊天来庆祝用户参与度。
可以通过多种方式将广告插入 Bing Chat 对话中。其中之一是当用户将鼠标悬停在链接上时,广告会在有机结果之前首先显示。在下面的示例中,我们询问在哪里可以下载网络管理员使用的名为 Advanced IP Scanner 的程序。当我们将光标放在第一句话上时,会出现一个对话框,其中显示广告以及该程序的官方网站,就在其下方:
用户可以选择访问任一链接,尽管第一个链接因其位置而更有可能被点击。尽管此链接旁边有一个小的“广告”标签,但很容易错过该链接并将其作为常规搜索结果查看。
网络钓鱼网站提供恶意软件
单击第一个链接后,用户将被带到一个网站 ( mynetfoldersip[.]cfd ),其目的是过滤流量并将真正的受害者与机器人、沙箱或安全研究人员分开。它通过检查您的 IP 地址、时区和各种其他系统设置(例如识别虚拟机的 Web 渲染)来实现这一点。
真人会被重定向到模仿官方网站的虚假网站 ( advenced-ip-scanner[.]com ),而其他人则被发送到诱饵页面。下一步是受害者下载所谓的安装程序并运行它。
MSI 安装程序包含三个不同的文件,但只有一个是恶意的,并且是一个严重混淆的脚本:
执行后,脚本会访问外部 IP 地址 ( 65.21.119[.]59 ),大概是为了宣告自身并接收额外的有效负载。
搜索不断发展,恶意广告随之而来
威胁行为者继续利用搜索广告将用户重定向到托管恶意软件的恶意网站。虽然 Bing Chat 是一种不同的搜索体验,但它提供的一些广告与通过传统 Bing 查询看到的广告相同。
在本例中,恶意行为者侵入了一家合法澳大利亚企业的广告帐户,并创建了两个恶意广告,一个针对网络管理员(高级 IP 扫描程序),另一个针对律师(MyCase 法律经理):
凭借令人信服的登陆页面,受害者很容易被诱骗下载恶意软件,但他们却一无所知。
我们建议用户特别注意他们访问的网站,但也使用一些安全工具来获得额外的保护。Malwarebytes 为消费者和企业提供安全软件,包括网络保护、广告拦截和恶意软件检测。
此安全事件与其他一些相关的恶意广告一起报告给了 Microsoft。
妥协指标
广告网址和伪装器
mynetfoldersip[.]cfd假网站
advenced-ip-scanner[.]com恶意MSI
ca83b930c2b34a167a39dc04c7917b9f360a95586bce45842868af6b9ad849a2脚本C2
65.21.119[.]59转载来源:https://www.malwarebytes.com/blog/threat-intelligence/2023/09/malicious-ad-served-inside-bing-ai-chatbot
图片来源网络侵权可联系删除
