ChatGPT Kullanıcılarını Hedef Alan Yeni Phishing Kampanyası: Kötü Amaçlı Yazılım Yaymak İçin Yapay Zeka Araçları Kullanılıyor Siber Güvenlik

ChatGPT Kullanıcılarını Hedef Alan Yeni Phishing Kampanyası: Kötü Amaçlı Yazılım Yaymak İçin Yapay Zeka Araçları Kullanılıyor

Saldırganlar, ChatGPT'nin meşru alan adlarını kullanarak sahte sayfalar oluşturuyor ve kullanıcıları kötü amaçlı yazılım indirmeye yönlendiriyor.

Siber güvenlik firması Push Security, tehdit aktörlerinin ChatGPT'nin meşru alan adlarını kullanarak sahte sayfalar oluşturduğunu ve bu sayfalar aracılığıyla kötü amaçlı yazılım yaydığını tespit etti. Saldırganlar, ChatGPT'nin kod işleme özelliğini kötüye kullanarak markayı taklit eden sayfalar oluşturuyor. Bu sayfalar, kurbanları sahte bir indirme sayfasına yönlendiriyor ve burada kötü amaçlı bir çalıştırılabilir dosya indirilmeye çalışılıyor. Push Security, bu saldırıları 'InstallFix' olarak adlandırıyor ve bunların daha önce belgeledikleri ClickFix ailesinin bir varyantı olduğunu belirtiyor.

Saldırı yöntemi, yapay zeka araçlarının komut satırı kurulum iş akışlarını normalleştirmesinden yararlanıyor. Push Security, 'Bu saldırılar, AI araçlarının komut satırı kurulum iş akışlarını normalleştirmesi nedeniyle, meşru bir terminal komutunu kötü niyetli olandan ayırt edecek deneyime sahip olmayan kullanıcıları hedef alıyor' açıklamasında bulundu. Kesin yükün ne olduğu henüz net değil, ancak bilgi çalan kötü amaçlı yazılımların (infostealer) kullanıldığından şüpheleniliyor.

Kurbanlar, kötü niyetli Google reklamları ve SEO zehirleme (SEO poisoning) yoluyla sahte sayfalara çekiliyor. Tıkladıklarında, ChatGPT markasıyla tasarlanmış, tamamen işlevsel ve kendi kendine yeten bir web sayfasına yönlendiriliyorlar. Bu sayfada, yüksek trafik nedeniyle bir hizmet kesintisi olduğu iddia ediliyor ve kullanıcılardan devam etmek için uygulamanın masaüstü sürümünü indirmeleri isteniyor. Ancak bu işlem, kullanıcıları ChatGPT'yi taklit eden bir phishing sitesine yönlendiriyor ve 'indir' butonuna tıkladıklarında kötü amaçlı yazılım yükleniyor.

Push Security, ilk sayfanın chatgpt.com/s/ URL'sinde barındırıldığı için çoğu tarama aracı tarafından güvenilir kabul edildiğini vurguluyor. Ayrıca, ikinci phishing sayfası, güvenlik araştırmacılarının daha derinlemesine inceleme yapmaya çalıştığını algılarsa sayfayı göstermiyor. Raporda, 'Gerçek kullanıcılar tarayıcıda sahte indirme sayfasını görürken, otomatik tarayıcılar ve botlar zararsız bir içerik görüyor. Bu tür koşullu işleme, malvertising ekosisteminde iyi bilinen bir kaçınma tekniğidir ve kötü niyetli altyapının güvenlik ekipleri ve tehdit istihbaratı hizmetleri tarafından tespit edilmesini ve analiz edilmesini zorlaştırıyor' denildi.

Bu, chatbot özelliklerini kötüye kullanan bir dizi benzer kampanyanın en son örneği. Push Security tarafından tespit edilen başka bir varyantta, paylaşılan sohbetler kullanılıyor. Bu özellik, kullanıcıların AI ile yaptıkları sohbet için benzersiz bir URL oluşturmasına olanak tanıyor. Kullanıcılar yine aynı şekilde sahte sayfalara çekiliyor, ancak bu kez 'Apple Support' tarafından hazırlanmış gibi görünen, 'Claude Code on Mac' kurulum kılavuzu kılığında bir paylaşılmış sohbetle karşılaşıyorlar. Bu sohbet, kötü amaçlı yazılım indirip çalıştıran bir curl komutu içeriyor.

Push Security, hem ChatGPT hem de Claude kullanıcılarının aynı şekilde hedef alındığını belirtiyor. Firma, 'Hem ChatGPT hem de Claude varyantlarının Push müşteri ortamlarında görülmesi, aktif olarak farklı platformlar ve farklı sosyal mühendislik yaklaşımları deneyen bir kampanyayı veya en azından ortak bir oyun kitabını işaret ediyor' açıklamasında bulundu. Amaç, hangi yöntemin daha iyi dönüşüm sağladığını bulmak. Push Security, ClickFix saldırılarının artık yüzde 80'inin e-posta yerine arama sonuçları aracılığıyla gerçekleştiğini ve malvertising'in genellikle kurban türüne, coğrafi konuma ve diğer özelliklere göre sıkı bir şekilde hedeflendiğini uyarıyor.

Kaynak: infosecurity-magazine.com

Paylaş: