Hugging Face, cunoscută în special ca o platformă open-source pentru găzduirea și partajarea modelelor de inteligență artificială și de învățare automată, se află acum în centrul unui scandal de securitate. Deși platforma a fost creată pentru a sprijini cercetarea și inovarea în domeniu, infractorii cibernetici au profitat de natura sa deschisă pentru a distribui malware, exploatând în același timp filierele de securitate digitale. Concluziile, trase de compania de securitate cibernetică Bitdefender, evidențiază riscurile tot mai mari ale spațiului online, în timp ce platforma își păstrează, din nefericire, vulnerabilitățile.
Platforma Hugging Face, folosită excesiv pentru distribuție de malware
Deși Hugging Face funcționează ca un mediu deschis, unde dezvoltatorii pot încărca și partaja modele și seturi de date, cercetările recent au arătat că infractorii cibernetici au găsit modalități de a utiliza acest spațiu pentru distribuirea de aplicații malițioase. În cadrul campaniei analizate, susțin cercetătorii, platforma a fost folosită pentru găzduirea și răspândirea a mii de versiuni APK periculoase, care vizează dispozitivele Android.
Acest atac constă în utilizarea tehnicilor de inginerie socială pentru a păcăli utilizatorii să descarce o aplicație aparent inofensivă, denumită TrustBastion. Aceasta se dă drept o soluție de securitate cibernetică, dar în realitate servește ca poartă de intrare pentru malware. Reproducând mesaje alarmante de tip „scareware”, actorii rău intenționați creează panică și îi determină pe utilizatori să instaleze aplicația, care ulterior descarcă troianul cu caracter malițios.
Metoda de operare și tehnici de evaziune
Odată instalată, aplicația solicită utilizatorilor să descarce o actualizare obligatorie, dar adevărata amenințare se află încă în spatele acestei povești. În spatele scenei, Hugging Face găzduiește fișierele APK infectate, redirecționând traficul către servere controlate de infractori, precum trustbastion.com. De acolo, malware-ul este distribuit din infrastructura platformei, reușind să evite detectarea noastră și a soluțiilor antivirus, care obișnuiesc să filtreze conținutul încărcat în mod obișnuit.
Pentru a preveni identificarea, răufăcătorii generează constant noi versiuni ale fișierelor APK, folosind tehnici de polimorfism aplicate pe server. Astfel, aceștia pot modifica mici detalii ale codului, păstrând în același timp funcționalitatea malițioasă, și pot reintra în acțiune ori de câte ori consideră necesar.
Atacul asupra datelor utilizatorilor, prin exploatarea Serviciilor de Accesibilitate Android
A doua fază a atacului are loc odată ce fișierul malițios ajunge pe dispozitivele victime. Troianul utilizează permisiunile Serviciilor de Accesibilitate ale sistemului Android pentru a monitoriza utilizarea telefonului și pentru a captura ecranul, chiar și atunci când încercările de dezinstalare sunt în curs. Malware-ul se deghizează în aplicații precum “Securitate a Telefonului”, ghidând utilizatorii pentru activarea acestor servicii, cu promisiunea de a spori siguranța telefonului.
Astfel, infractorii pot obține o perspectivă completă asupra activității utilizatorului, pot influența sau bloca anumite acțiuni și pot colecta informații financiare sensibile. Se pot deghiza în aplicații financiare precum WeChat sau Alipay pentru a obține coduri de autentificare sau deblocare, luând controlul asupra dispozitivului și exfiltrând date către servere centrale de comandă și control.
Rata crescută a infecțiilor și răspândirea rapidă
Potrivit cercetărilor, acțiunile răufăcătorilor au fost atât de bine orchestrate încât în doar 29 de zile au fost înregistrate peste 6.000 de confirmări ale infecției, precum și răspândirea rapidă în mai multe țări. În timpul monitorizării, depozitul de fișiere infectate a fost eliminat, însă a reapărut sub o altă denumire și asociere cu o aplicație denumită Premium Club.
Compania de securitate Bitdefender a notificat Hugging Face despre această activitate ilegitimă, iar platforma a luat măsuri de eliminare a depozitului și a remediat vulnerabilitatea descoperită. Însă actuala situație subliniază pericolul inerent al spațiului digital, în care infrastructurile open-source devin ținte accesibile pentru grupuri rău intenționate.
Pe măsură ce tehnologia avansează, și metodele de atac se diversifică, răbdarea și adaptabilitatea trebuie să fie prioritatea forței de securitate. În timp ce Hugging Face își continuă operațiunile, siguranța utilizatorilor și integritatea platformei devin obiective majore, iar dezvoltatorii și potențialii utilizatori trebuie să fie vigilenți față de aceste riscuri ascunse în mediile aparent inofensive.
