Исследователи Guardio Labs сообщили о новой тактике распространения вредоносной рекламы (malvertising) в соцсети X, где злоумышленники используют интегрированного ИИ-помощника Grok для обхода платформенных ограничений на публикацию URL. Прием получил название «гроккинг» и уже продемонстрировал значительный охват, включая случаи с миллионами показов рекламных постов, ведущих на опасные ресурсы.
Как работает «гроккинг»: схема атаки по шагам
Вредоносные рекламодатели публикуют в X ролики с сомнительным содержанием, зачастую с элементами для взрослых, намеренно избегая явных ссылок в тексте поста, чтобы не сработали фильтры. Вместо этого они прячут URL в поле метаданных «From:», которое отображается под видео и, как отмечают исследователи, не проходит полноценную проверку на наличие вредоносных адресов.
Злоупотребление полем метаданных «From:»
Скрытие ссылки в «From:» позволяет обойти первичный фильтр модерации: система мониторит текст публикации, но игнорирует вложенные метаданные. Это классическая ошибка разграничения доверия: данные, попадающие в интерфейс через «вторичные» поля, получают видимость легитимного контента без должной валидации.
«Эхо-ссылка» от системного аккаунта Grok
Далее злоумышленник отвечает на свой пост и задает Grok прямой вопрос, например: «где ссылка на это видео?» ИИ анализирует поле «From:» и публикует полноценный кликабельный URL в ответе. Поскольку Grok — системная и доверенная учетная запись в X, его реплай повышает видимость контента, усиливает доверие аудитории и дает дополнительный импульс SEO и рекомендациям, фактически «узаконивая» ссылку.
К чему это приводит: редиректы, фальшивые CAPTCHA и инфостилеры
Guardio Labs отмечает, что значительная часть таких ссылок ведет в сомнительные рекламные сети. Пользователи сталкиваются с цепочками редиректов, фальшивыми окнами CAPTCHA и страницами, побуждающими загрузить «обновление» или «кодек», за которыми часто скрываются инфостилеры и другие виды малвари. Подобные кампании эксплуатируют любопытство, социальную инженерию и недостатки модерации, чтобы максимально конвертировать показы в клики и установки.
Почему защита дала сбой: пробелы модерации и модель доверия
Ключевая уязвимость — отсутствие сканирования всех источников данных, формирующих конечный пост. Невалидация метаданных «From:» создает «слепую зону», а повтор ссылки от имени авторитетного системного аккаунта снимает поведенческие барьеры у пользователей. Дополнительно, алгоритмические сигналы доверия (верификация, системный статус, высокий охват) усиливают распространение вредоносных ссылок, превращая локальную брешь в масштабируемую экосистемную проблему.
Рекомендации: что делать платформам и пользователям
Для платформ: реализовать обязательное сканирование и нормализацию всех полей, влияющих на отображение контента; блокировать скрытые и обфусцированные URL в метаданных; внедрить «очистку контекста» в Grok, чтобы ИИ не цитировал и не распространял ссылки без проверки; проверять URL по черным спискам и системам репутации, выполнять развертку сокращателей, анализировать цепочки редиректов и TLD-риски; ограничить «эхо-ссылки» от системных аккаунтов и добавить поведенческие лимиты.
Для пользователей: избегать переходов по ссылкам, опубликованным в ответах ИИ; обращать внимание на нехарактерные поля под видео; использовать блокировщики скриптов и фильтры уязвимых категорий рекламы; обновлять браузер и ОС; применять решения класса EDR/antimalware с веб-фильтрацией и анализом репутации доменов.
Реакция X и дальнейшие шаги
Guardio Labs передала технические детали инцидентов инженерам X и получила неофициальное подтверждение, что отчет направлен команде разработчиков Grok. Эксперты также рекомендуют оперативный деплой сканирования метаданных и корректировку поведенческих политик для системных аккаунтов, чтобы пресечь автоматическое усиление вредоносных публикаций.
Схема «гроккинг» наглядно демонстрирует, как злоумышленники комбинируют пробелы модерации с авторитетом ИИ-инструментов для масштабирования malvertising. Быстрое закрытие слепых зон (метаданные, повтор ссылок, проверка репутации) и повышение киберграмотности пользователей — ключ к снижению риска. Следите за обновлениями платформы, пересмотрите корпоративные политики веб-безопасности и протестируйте средства защиты на сценарии скрытых ссылок в метаданных.
