Wiki-Slack: как Википедия помогает распространять вредоносное ПО в рабочих чатах

Специалисты по кибербезопасности из компании eSentire Threat Response Unit выявили интересную технику кибератак на сотрудников компаний, которые используют корпоративный мессенджер Slack. Метод получил название Wiki-Slack .

Злоумышленники выбирают интересную для потенциальных жертв тему в Википедии, заходят на первую страницу соответствующей статьи и вносят правку. Хитрость заключается в добавлении легитимной ссылки-сноски. При определенных условиях, когда такую статью из Википедии копируют и вставляют в корпоративный Slack-чат, мессенджер генерирует адрес, которого изначально в тексте не было.

Это происходит при соблюдении трех условий:

1. В конце первого абзаца присутствует сноска.

2. Первое слово второго абзаца – это аббревиатура доменного имени вроде in, at, com, net и т.п.

3. Вышеуказанные пункты должны уместиться в первые 100 слов статьи.

Из-за особенностей форматирования текста Slack неправильно обрабатывает разрыв между абзацами и создаёт новую гиперссылку там, где её не должно быть. В самих правках нет ничего противозаконного, поэтому схема крайне выгодна для мошенников.

В eSentire отмечают, что злоумышленники могут использовать статистику Википедии, чтобы выбрать наиболее посещаемые страницы. Поддельные ссылки можно использовать для фишинга или распространения вредоносного ПО.

По словам исследователей, масштаб таких атак можно легко наращивать с помощью языковых моделей вроде GPT-3. Эксперты рекомендуют компаниям проявлять осторожность и применять инструменты мониторинга конечных точек, чтобы вовремя обнаруживать и блокировать угрозы.