Des chercheurs en cybersécurité ont mis en évidence une nouvelle technique adoptée par les cybercriminels pour contourner les protections contre la publicité malveillante de la plateforme de médias sociaux X et propager des liens malveillants à l’aide de son assistant d’intelligence artificielle (IA) Grok.

Les résultats ont été mis en évidence par Nati Tal, responsable de Guardio Labs, dans une série d’articles sur X. La technique a été baptisée Grokking.

L’approche est conçue pour contourner les restrictions imposées par X dans les annonces sponsorisées qui permettent aux utilisateurs d’inclure uniquement du texte, des images ou des vidéos, puis de les amplifier auprès d’un public plus large, attirant des centaines de milliers d’impressions grâce à la promotion payante.

Pour y parvenir, il a été découvert que les malfaiteurs diffusaient des messages promus par des cartes vidéo contenant du contenu pour adultes comme appât, avec le faux lien caché dans le champ de métadonnées « De : » sous le lecteur vidéo qui n’est apparemment pas analysé par la plateforme de médias sociaux.

À l’étape suivante, les fraudeurs taguent Grok dans les réponses à la publication, en lui demandant quelque chose de similaire à « d’où vient cette vidéo ? », ce qui incite le chatbot IA à afficher visiblement le lien en réponse.

« De plus, cela est désormais amplifié dans le référencement et la réputation du domaine – après tout, cela a été repris par Grok sur un article avec des millions d’impressions », a déclaré Tal.

« Un lien malveillant que X interdit explicitement dans les publicités (et qui aurait dû être entièrement bloqué !) apparaît soudainement dans une publication du compte Grok approuvé par le système, sous un fil de discussion viral promu et se propageant directement dans des millions de flux et de résultats de recherche ! »

Guardio a déclaré que les liens dirigent les utilisateurs vers des réseaux publicitaires douteux, les envoyant vers des liens malveillants qui poussent à de fausses escroqueries CAPTCHA , des logiciels malveillants de vol d’informations et d’autres contenus suspects via la monétisation par lien direct (alias smartlink ).

Les domaines sont considérés comme faisant partie du même système de distribution du trafic (TDS), qui est souvent utilisé par des fournisseurs de technologies publicitaires malveillants pour acheminer le trafic vers du contenu nuisible ou trompeur.

La société de cybersécurité a déclaré à The Hacker News avoir découvert des centaines de comptes se livrant à ce comportement au cours des derniers jours, chacun d’entre eux publiant des centaines, voire des milliers de messages similaires.

« Ils semblent publier sans interruption pendant plusieurs jours, jusqu’à ce que le compte soit suspendu pour violation des règles de la plateforme », a-t-il ajouté. « Ils sont donc nombreux et le contenu semble très organisé. »