Кибератака через SEO-отравление: более 8500 пользователей малого и среднего бизнеса атакованы вредоносным ПО под видом AI-инструментов

Виртуальная реальность

В современном цифровом мире малый и средний бизнес (МСБ) находится под постоянной угрозой со стороны киберпреступников, использующих все более изощренные методы атаки. Одним из таких опасных трендов является SEO-отравление — техника, при которой злоумышленники манипулируют результатами поисковых систем, чтобы заманить целевых пользователей на вредоносные сайты под видом легитимных и популярных программ. Последние данные свидетельствуют о том, что более 8500 пользователей МСБ стали жертвами кампании, распространяющей опасное вредоносное ПО через поисковые запросы, связанные с искусственным интеллектом (AI) и коллаборационными инструментами. Разберемся подробнее с сущностью этой угрозы и тем, какие последствия она может иметь для бизнеса и отдельных пользователей. SEO-отравление — это форма киберугрозы, при которой злоумышленники используют оптимизацию для поисковых систем, чтобы поднять свои вредоносные сайты на вершину результатов поиска.

Однако, в отличие от легитимных SEO-стратегий, здесь манипулируются результаты с целью введения пользователя в заблуждение. Киберпреступники создают поддельные сайты, имитирующие весьма популярные инструменты, зачастую такие, как AI-приложения, программы для удаленного доступа или обмена файлами. В рамках текущей кампании жертвами становятся пользователи, ищущие программы вроде PuTTY или WinSCP, а также различные AI-сервисы. Методы атаки включают развертывание так называемого загрузчика Oyster (известного также как Broomstick или CleanUpLoader). При установке с вредоносного сайта подобный загрузчик создает на зараженной системе «запланированное задание», которое запускает вредоносную DLL-библиотеку каждые несколько минут.

Это помогает атакующим сохранять устойчивое присутствие в системе жертвы, обходя стандартные меры безопасности и скрывая выполняемые действия. Поддельные сайты, используемые в схеме, выглядят крайне правдоподобно и зачастую имеют домены, имитирующие названия легитимных сервисов — например, updaterputty[.]com или putty[.]run. Такое копирование веб-адресов вызывает доверие у специалистов по IT, которые могут попасть на вредоносную версию программы, полагая, что скачивают легитимное ПО.

Именно эта методика способствует успеху кампании, так как большое число пользователей склонны доверять результатам поисковых систем, не проводя глубокую проверку происхождения скачиваемых файлов. Одновременно с этим злоумышленники применяют продвинутые тактики сбора информации с браузера жертвы, включая проверку наличия блокировщиков рекламы, и проводят сложные перенаправления пользователя на фишинговые страницы. Там, в свою очередь, предлагается загрузить ZIP-архивы, защищённые паролем (пароль обычно дается на самой странице загрузки). Такой подход помогает обойти системы обнаружения вредоносного кода, поскольку защищенные архивы меньше подвержены автоматическому анализу. Внутри этих архивов скрываются файлы большого размера — до 800 МБ, что также создаёт ложное впечатление легитимности.

Далее загружаемые компоненты устанавливают скрипты и загрузчики, которые запускают вирусы-ворами конфиденциальных данных, такими как Vidar Stealer, Lumma Stealer или Legion Loader. Последний, к примеру, распространяется через стандартный MSI-инсталлятор и активируется с помощью пакетных скриптов. Особенно тревожен тот факт, что атакующие используют ключевые слова, связанные с искусственным интеллектом, чтобы бы захватить всё возрастающее количество пользователей, заинтересованных в новых технологиях. Количество вредоносных файлов, пытающихся выдать себя за продукты ChatGPT, например, увеличилось в 2025 году более чем в два раза, что отражает растущую популярность AI-сервисов и жажду аудитории к инструментам, упрощающим работу и повышающим продуктивность. Кроме того, техника SEO-отравления зачастую используется для манипуляций с результатами поиска по технической поддержке популярных компаний, таких как Apple, Microsoft, Google и др.

Здесь целью становится не только заражение устройств, но и социальная инженерия для получения дополнительной выгоды. К примеру, злоумышленники могут подставлять фальшивые контактные номера в подлинных страницах поддержки, вводя пользователей в заблуждение и вынуждая звонить мошенникам, что может привести к финансовым потерям и утечке личных данных. Важным аспектом является и использование платных рекламных платформ, таких как Google Ads и Facebook Ads, для массового распространения вредоносных ссылок и фишинговых объявлений. Это настоящий вызов для исследователей безопасности, поскольку киберпреступники стремятся использовать легитимные каналы продвижения, минуя фильтры и меры защиты. Особое внимание требуется уделить тому, что в ряде кампаний используется тактика скрытого взаимодействия с сервисами, например Google Calendar, что позволяет внедрять код удалённого управления и скрытно обновлять вредоносное ПО.

Связь обнаружена с вредоносными npm-пакетами, что указывает на широкий спектр инструментов, которые преступники готовы использовать, чтобы максимально расширить своё влияние. Во многом из-за этих сложных и разноплановых угроз рекомендуется соблюдать жесткую дисциплину безопасности при загрузке программного обеспечения. Малый и средний бизнес должен использовать исключительно официальные страницы и магазины софта, регулярно обновлять системы безопасности и проводить обучение сотрудников по вопросам кибербезопасности. Применение многоуровневых защитных решений и мониторинг сетевой активности помогут выявлять и блокировать подобные атаки своевременно. Наряду с техническими мерами, большое значение имеет информированность пользователей о методах социальной инженерии.

Понимание, как выглядят фишинговые объявления или подозрительные адреса сайтов, а также проверка цифровых подписей и сертификатов помогут избежать распространённых ловушек вредоносных кампаний. Подводя итог, можно отметить, что появление SEO-отравления, направленного на SMB-сегмент и связанного с популяризацией AI-инструментов, является тревожным сигналом для всей индустрии кибербезопасности. Повышенная эффективность таких атак обусловлена сочетанием технической изощренности киберпреступников и доверчивостью пользователей при скачивании программного обеспечения. Поэтому объединение усилий специалистов по безопасности, бизнеса и конечных пользователей становится ключом к противодействию этим угрозам и защите цифровой инфраструктуры в эпоху стремительного технологического прогресса.