EclecticIQ güvenlik araştırmacıları, siber tehdit aktörlerinin Google Gemini'nin kodlama aracı ve Anthropic'in Claude Code'u taklit eden sahte siteler oluşturarak bilgi hırsızlığı yapan zararlı yazılımlar yaydığı yeni bir kampanya tespit etti. İlk uyarı, bağımsız bir güvenlik araştırmacısı olan @g0njxa tarafından 21 Nisan'da X platformunda yapıldı. Araştırmacı, geliştiricilerin terminalden Gemini AI modelleriyle etkileşime girmesini sağlayan Gemini CLI'nin taklit edildiğini bildirdi.
EclecticIQ, tehdit aktörünün kötü amaçlı alan adlarını Mart 2026 başlarında kullanmaya başladığını tespit etti. Kampanyanın, ABD ve İngiltere'deki kullanıcıları hedef aldığı, saldırganların .co.uk, .us.com ve .us.org gibi üst düzey alan adlarını kullanmasından anlaşılıyor. Bu alan adlarının çekici görünmesi için SEO zehirlenmesi yöntemleri kullanılarak sahte alan adlarının meşru sonuçların üzerinde çıkması sağlanıyor.
Sahte siteler, Windows uç noktalarını hedef alan ve PowerShell aracılığıyla tamamen bellekte çalışan bir infostealer barındırıyor. Bu zararlı yazılım, Chromium tabanlı tarayıcılar (Chrome, Edge, Brave) ve Firefox'tan kimlik bilgileri, oturum çerezleri, otomatik doldurma verileri ve form geçmişini çalıyor. Ayrıca Slack, Microsoft Teams, Discord, Mattermost, Zoom, Telegram Desktop, LiveChat, Notion ve Zoho Mail gibi kurumsal işbirliği platformlarını hedef alıyor. EclecticIQ, bu platformlardan elde edilen oturum çerezlerinin, mağdurun çalışma alanına yetkisiz erişim sağladığını belirtiyor.
Sonuç ve Değerlendirme
Gemini CLI taklidi, kullanıcıları geminicli[.]co[.]com adresindeki sahte kurulum sayfasına yönlendiriyor. Sayfa, kullanıcıdan bir PowerShell komutunu kopyalayıp terminale yapıştırmasını istiyor. Komut, gemini-setup[.]com adresinden infostealer indiricisini çalıştırıyor. Claude Code taklidinde ise benzer bir zincir işliyor: claudecode[.]co[.]com sahte kurulum sayfası, claude-setup[.]com ise zararlı yükü barındırıyor. Her iki kampanyada da veriler events[.]msft23[.]com ve events[.]ms709[.]com adreslerindeki C2 sunucularına şifrelenerek gönderiliyor. Araştırmacılar, iki kampanya arasındaki benzerliklerin aynı tehdit aktörü tarafından yürütüldüğünü gösterdiğini vurguluyor.