技术框架分析
SentinelOne旗下SentinelLabs研究人员发现,这款名为AkiraBot的Python框架能绕过CAPTCHA(全自动区分计算机和人类的公开图灵测试),利用AI生成内容对中小企业网站实施大规模垃圾信息攻击。自2024年9月以来,该工具已扫描超过40万个网站,并成功向至少8万个网站发送垃圾信息。
该框架通过LLM(大语言模型)生成内容,配合攻击者控制的轮换域名规避垃圾邮件过滤器。值得注意的是,虽然名称相似,但该工具与Akira勒索软件团伙并无关联。其名称源于用于SEO(搜索引擎优化)推广的"Akira"系列域名,主要针对Shopify、GoDaddy和Wix等建站平台。
攻击技术剖析
研究显示,AkiraBot采用多线程架构运行于Windows服务器,具有图形化操作界面,主要攻击目标为网站联系表单和在线聊天插件。其技术特点包括:
- 内容生成:通过BeautifulSoup爬取目标网站内容,使用OpenAI的GPT-4o-mini模型生成个性化垃圾信息,再嵌入定制模板
- 验证码绕过:采用Selenium WebDriver模拟用户行为突破hCAPTCHA/reCAPTCHA防护,必要时调用Capsolver等第三方绕过服务
- 流量隐匿:通过SmartProxy代理服务路由流量,使用共享凭证规避网络检测
运营特征追踪
分析人员发现多个自2024年9月活跃的版本,均采用硬编码的OpenAI API密钥。攻击日志记录显示:
- 成功提交记录存储在
submissions.csv,已累计8万条成功记录 - 42万个目标域名被扫描,失败记录单独保存
- 部分版本通过Telegram机器人上报攻击指标
监控模块monitor.py利用pyautogui将JavaScript代码粘贴至浏览器控制台,实现验证码绕过自动化。所有分析版本均使用相同的Telegram令牌和聊天ID进行状态监控,验证码状态通过stats.json文件跟踪。
幕后关联线索
与AkiraBot关联的SEO网站采用"Akira"和"ServiceWrap"品牌,其TrustPilot页面存在大量内容雷同的五星好评(疑似AI生成),同时夹杂指控其涉嫌欺诈的一星评价。域名追踪发现:
- 最早域名akirateam[.]com注册于2022年1月
- servicewrap-go[.]com等域名解析至已知恶意广告主机77980.bodis[.]com
- 数字营销站点unj[.]digital存在可疑活动关联
SentinelLabs在报告中指出:"该框架经过多次迭代,持续集成新的攻击目标技术。随着网站托管商加强反垃圾邮件防御,我们预计此类攻击将持续演进。开发者投入大量精力突破常见验证码技术,表明运营者具有强烈动机突破服务商防护体系。"
扫一扫
175
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
