La red AkiraBot inunda miles de sitios con un spam de IA que elude CAPTCHA.

Un nuevo marco de spam llamado AkiraBot ha sido descubierto, el cual es capaz de eludir filtros CAPTCHA y generar contenido de spam utilizando la API de OpenAI. Esta campaña de spam ha afectado a más de 400,000 sitios web, de los cuales 80,000 fueron efectivamente invadidos para promover servicios dudosos. Investigadores en ciberseguridad han detallado en un informe el funcionamiento de esta operación.

El núcleo de esta iniciativa es una plataforma denominada AkiraBot, que se enfoca en chats de sitios web, secciones de comentarios y formularios de contacto, y que no debe confundirse con una operación de ransomware del mismo nombre. Este marco, basado en Python, utiliza la API de OpenAI para generar contenido de spam relevante al propósito de los sitios que ataca. Los objetivos específicos son dos servicios de optimización de motores de búsqueda (SEO) cuestionables: Akira y ServicewrapGO.

Una particularidad de esta campaña de spam es su capacidad para sortear los filtros CAPTCHA. Según los investigadores, el creador del bot ha dedicado una cantidad considerable de esfuerzo para evadir estos filtros, además de evitar detecciones de red mediante una infraestructura de proxy que, aunque está destinada a anunciantes, ha sido ampliamente utilizada por actores del cibercrimen.

Para eludir los sistemas CAPTCHA, el bot utiliza navegadores web falsos que imitan el comportamiento de un navegador real. Esto se logra mediante una herramienta llamada Selenium, que permite abrir sitios web e interactuar con ellos. Sin embargo, dado que los sitios pueden detectar navegadores falsos buscando pistas como fuentes faltantes o información de navegador desajustada, el bot introduce un código especial (inject.js) en el sitio a medida que se carga. Este código modifica la apariencia del navegador falso, haciéndolo parecer más humano. Si estos trucos no son suficientes para engañar el CAPTCHA, el bot recurre a servicios externos que resuelven CAPTCHA, como Capsolver, y también se dirige a sistemas de chat en sitios web, como Reamaze, para refrescar tokens y continuar el spam sin ser detectado.

Se cree que AkiraBot ha estado en funcionamiento desde septiembre de 2024, afectando a plataformas como GoDaddy, Wix y Squarespace. Como respuesta a esta amenaza, OpenAI ha desactivado la clave API y otros recursos asociados utilizados por los actores maliciosos. Los investigadores concluyen que el autor o autores del bot han mostrado un gran compromiso en superar las tecnologías de CAPTCHA, lo que indica una motivación fuerte para quebrantar las protecciones de los proveedores de servicios. Asimismo, el uso de contenido de spam generado por modelos de lenguaje resalta los crecientes desafíos que la inteligencia artificial presenta para la defensa de los sitios web contra ataques de spam.