Дослідники Guardio Labs зафіксували нову техніку розповсюдження шкідливої реклами (malvertising) у соцмережі X, коли атакувальники комбінують прогалини модерації з авторитетом вбудованого ІІ-помічника Grok. Прийом, який вони назвали «гроккінг», уже забезпечив кампаніям мільйонні покази, скеровуючи користувачів на фішингові сторінки, редиректи й завантаження інфостілерів.
Суть атаки: прихований URL і підсилення довірою системного акаунта
Маскування посилання в полі метаданих «From»
Зловмисники публікують відео з клікбейтним або дорослим контентом, уникаючи явних URL у тексті поста, щоб не спрацювали фільтри. Натомість вони ховають адресу у полі метаданих From, яке відображається під відео. За спостереженнями Guardio Labs, це поле не проходить повної валідації, тож базові механізми модерації його ігнорують — типовий збій у моделі довіри до «вторинних» джерел даних інтерфейсу.
«Ехо-посилання» від Grok: перетворення метаданих на клікабельний URL
Далі автор допису ставить запитання Grok у відповіді: наприклад, «де посилання на це відео?». ІІ аналізує поле From і публікує повноцінне клікабельне посилання у своєму реплаї. Оскільки Grok — системний і довірений акаунт у X, його відповідь підвищує видимість і сприйняття легітимності, а також отримує переваги в рекомендаціях і пошуку, фактично «узаконюючи» посилання, яке обійшло первинні фільтри.
Наслідки для користувачів: редиректи, фальшиві CAPTCHA та інфостілери
За даними Guardio Labs, значна частина таких URL веде через мережі сумнівної реклами на ланцюжки редиректів із псевдо-CAPTCHA, підробленими «оновленнями» або «кодеками». Завантажені файли часто містять інфостілери та іншу малварь, орієнтовану на викрадення облікових даних, cookie та криптогаманців. Універсальність прийому дозволяє масштабувати конверсію з показів у кліки, експлуатуючи цікавість і довіру до системних сервісів ІІ.
Чому захист не спрацював: прогалини в модерації та моделі довіри
Ключова причина — відсутність цілісного сканування усіх полів, що формують фінальний пост. Невалідація метаданих From створює «сліпу зону», тоді як повтор посилання від імені авторитетного системного акаунта знімає поведінкові бар’єри в аудиторії. Додатково алгоритмічні сигнали (верифікація, статус системного акаунта, високий охоп) підсилюють розповсюдження шкідливих URL, перетворюючи локальну помилку на екосистемний ризик.
Рекомендації з протидії: що мають зробити платформи та користувачі
Кроки для платформ і власників ІІ-асистентів
Запровадити обов’язкове сканування та нормалізацію всіх полів, що впливають на відображення контенту; блокувати приховані й обфусковані URL у метаданих; реалізувати «очищення контексту» для Grok, щоб ІІ не цитував неперевірені адреси; перевіряти посилання за репутаційними сервісами, розгортати скорочені URL, аналізувати ланцюжки редиректів і ризиковані TLD; обмежити «ехо-посилання» від системних акаунтів та встановити поведінкові ліміти.
Гігієна безпеки для користувачів
Не переходьте за посиланнями, опублікованими у відповідях ІІ-асистентів; звертайте увагу на нестандартні елементи під відео (поле From); використовуйте блокувальники скриптів і фільтри категорій ризикової реклами; регулярно оновлюйте браузер і ОС; застосовуйте EDR/antimalware з веб-фільтрацією та перевіркою репутації доменів.
Реакція X і контекст ринку
Guardio Labs передала технічні деталі інцидентів інженерам X і отримала неофіційне підтвердження, що звіт надіслано команді розробників Grok. Експерти радять оперативно розгорнути перевірку метаданих і скоригувати політики щодо системних акаунтів, щоб унеможливити автоматичне підсилення шкідливих публікацій. У ширшому контексті незалежні звіти провідних команд загроз підкреслюють, що malvertising стабільно залишається одним із головних каналів компрометації, а поєднання соціальної інженерії з інструментами ІІ підвищує ефективність атак.
Схема «гроккінг» демонструє, як ін’єкція даних через метадані та «довірений голос» ІІ можуть обійти фільтри й масштабувати шкідливі кампанії. Закриття сліпих зон (валідація метаданих, контроль «ехо-посилань», репутаційні перевірки) у поєднанні з користувацькою гігієною — найшвидший шлях знизити ризик. Перегляньте політики веб-безпеки у власній організації, протестуйте захист на сценарії прихованих URL у метаданих і навчіть команду не взаємодіяти з посиланнями, згенерованими ІІ без перевірки.
