Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Генерация программного кода стала одной из сфер, где ИИ уже внедрен достаточно широко, — по некоторым оценкам, за минувший год около 40% нового кода было написано ИИ. CTO Microsoft считает, что через пять лет эта цифра достигнет 95%. Этот код еще предстоит научиться правильно сопровождать и защищать.
Безопасность ИИ-кода эксперты пока оценивают как невысокую, в нем систематически встречаются все классические программные дефекты: уязвимости (SQL-инъекции, вшитые в код токены и секреты, небезопасная десериализация, XSS), логические дефекты, использование устаревших API, небезопасные алгоритмы шифрования и хеширования, отсутствие обработки ошибок и некорректного пользовательского ввода и многое другое. Но использование ИИ-ассистента в разработке ПО добавляет еще одну неожиданную проблему — галлюцинации. В новом исследовании авторы подробно изучили, как на ИИ-код влияют галлюцинации больших языковых моделей. Оказалось, что некоторых сторонних библиотек, которые ИИ пытается использовать в своем коде, просто не существует в природе.
Вымышленные зависимости в open source и коммерческих LLM
Для изучения фантомных библиотек исследователи сгенерировали 576 тысяч фрагментов кода на Python и JavaScript с помощью 16 популярных LLM.
Модели выдумывали зависимости с разной частотой: реже всего галлюцинировали GPT4 и GPT4 Turbo (вымышленные библиотеки встретились менее чем в 5% образцов кода), у моделей DeepSeek этот показатель уже превышает 15%, а сильнее всего ошибается Code Llama 7B (более 25% фрагментов кода ссылаются на несуществующие библиотеки). При этом параметры генерации, которые снижают вероятность проникновения случайных токенов в выдачу модели (температура, top-p, top-k), все равно не могут снизить частоту галлюцинаций до незначительных величин.
Код на Python содержал меньше вымышленных зависимостей (16%) по сравнению с кодом на JavaScript (21%). Результат также зависит от того, насколько стара тема разработки. Если при генерации пытаться использовать пакеты, технологии и алгоритмы, ставшие популярными за последний год, несуществующих пакетов становится на 10% больше.
Самая опасная особенность вымышленных пакетов — их имена не случайны, а нейросети ссылаются на одни и те же библиотеки снова и снова. На втором этапе эксперимента авторы отобрали 500 запросов, которые ранее спровоцировали галлюцинации, и повторили каждый из них 10 раз. Оказалось, что 43% вымышленных пакетов снова возникают при каждой генерации кода.
Интересна и природа имен вымышленных пакетов. 13% были типичными «опечатками», отличающимися от настоящего имени пакета всего на один символ, 9% имен пакетов были заимствованы из другого языка разработки (код на Python, пакеты из npm), еще 38% были логично названы, но отличались от настоящих пакетов более значительно.
View the full article
-
Автор foroven
Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
-
Автор KL FC Bot
Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
Поддельные страницы Semrush
Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
View the full article
-
Автор KL FC Bot
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
Как Interlock использует ClickFix для распространения вредоносного ПО
Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
View the full article
-
Автор KL FC Bot
В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
Январь 2024: атака вымогателей на зоопарк Торонто
Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти