Grok 챗봇 악용해 사기 링크 확산

악의적인 행위자들이 Grok을 악용하여 X 플랫폼에 금지된 링크를 게시하는 방법을 발견했다고 Guardio Labs의 연구원 Nati Tal이 보고했다.

이들은 주로 성인 콘텐츠를 미끼로 하는 '비디오 카드' 홍보 게시물을 운영하며, 이러한 게시물이 X의 검토를 어떻게 통과하는지는 미스터리로 남아있다.

악성 링크는 비디오 플레이어 아래의 작은 'From:' 필드에 숨겨져 있으며, X 플랫폼에서는 이 필드에 대한 악성 링크 스캔이 이루어지지 않는다.

Tal은 이러한 공격 유형을 'Grokking'이라고 명명하고 X의 관리자에게 문제를 알렸다. 사기꾼들은 성인 콘텐츠를 미끼로 하는 의심스러운 비디오 광고를 자주 실행한다. 그러나 링크가 메시지의 주요 블록에 삽입되면 X는 게시를 차단한다.

대신, 악의적인 행위자들은 링크를 비디오 카드 아래의 작은 'From:' 메타데이터 필드에 숨기는 방법을 터득했으며, 이 필드는 소셜 네트워크에서 스캔되지 않는 것으로 보인다.

그들은 광고에 응답하여 Grok에게 '이 비디오는 어디에서 왔나요?' 또는 '이 클립의 링크는 무엇인가요?'와 같은 질문을 한다. 챗봇은 숨겨진 'From:' 필드를 분석하여 클릭 가능한 형식으로 전체 악성 주소를 회신한다.

Grok의 게시물은 신뢰를 높여 게시물의 도달 범위와 평판을 증가시킨다. 일부 경우에는 광고가 수백만 명의 사용자에게 노출된다.

연구자는 이러한 링크 중 많은 수가 데이터 도용 악성코드, 가짜 CAPTCHA 테스트 및 기타 의심스러운 리소스로 연결된다는 것을 발견했다.