Siber güvenlik dünyası, yapay zeka (AI) öğrenme materyalleri kisvesine bürünen yeni bir tehditle karşı karşıya. Fortinet'in FortiGuard Labs araştırmacıları, 'AI-Ready PostgreSQL 18' ve 'Claude Code ile Ajan Kodlama' gibi isimler taşıyan sahte rehberlerin, AsyncRAT trojanını yaymak için kullanıldığını ortaya çıkardı. Bu kampanya, özellikle AI öğrenmeye hevesli profesyonelleri hedef alarak, onları çok aşamalı bir saldırının kurbanı haline getiriyor. Tehdit aktörleri, bu dosyaları güvenilir öğrenme içerikleri olarak paketleyerek, kullanıcıların şüphelenmeden çalıştırmasını sağlıyor.
Saldırı, Windows sistemlerinde çalışan herhangi bir kuruluştaki kullanıcıları hedef alıyor ve tamamen güvenilir sistem araçları üzerinden yürütülüyor. Bu 'dosyasız' yaklaşım, kötü amaçlı yazılımın geleneksel antivirüs taramalarından kaçmasına olanak tanıyor. Fortinet araştırmacıları, saldırının tüm aşamalarında PowerShell, AutoHotkey ve Windows Görev Zamanlayıcısı gibi meşru araçların kullanıldığını belirtiyor. Bu sayede zararlı yazılım, sistemde iz bırakmadan çalışabiliyor.
Saldırı zinciri, bir LNK dosyası ve iki gizli belge içeren bir arşivle başlıyor. Kullanıcı bu dosyayı açtığında, bir dizi PowerShell betiği tetikleniyor. Her betik, bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli ofsetlerden çekerek şifresini çözüyor ve çalıştırıyor. Son aşamada, sistemde 'Realtek' ses hizmeti gibi görünen zamanlanmış görevler oluşturuluyor ve kurbanın dikkatini dağıtmak için masum bir belge açılıyor. Bu sırada kötü amaçlı işlemler arka planda sessizce devam ediyor.
Uzmanların Görüşleri
Zararlı yazılımın yürütme motoru olarak AutoHotkey kullanılıyor. Bu, geliştiricilerin sıklıkla kullandığı meşru bir otomasyon aracı. Saldırganlar, AutoHotkey'in iki kopyasını Realtek bileşenleri gibi gizleyerek, kötü amaçlı mantığı ikili dosyalardan daha zor tespit edilen betikler içinde saklıyor. Bir varyantta, sahte bir manifest dosyasındaki sayılardan gizli bir program yeniden oluşturuluyor ve process hollowing tekniğiyle gerçek bir .NET işleminin içinde çalıştırılıyor. Bu işlem, iki .NET yükü ortaya çıkarıyor: Fortinet'in clay_Client olarak izlediği modüler bir RAT ve kendi komuta-kontrol sunucusuyla iletişim kuran AsyncRAT.
Uzmanlar, bu tür saldırıların yapay zeka sayesinde daha hızlı ve gizli hale geldiğini vurguluyor. Viakoo'dan John Gallagher, 'Bu, mevcut bir saldırı vektörü, ancak AI ile daha hızlı ve daha gizli hale getirilmiş' diyor. Ayrıca, Windows işlevlerinin Çin mitolojisinden takma adlar ve temizlenmemiş Çince yorumlar içermesi, saldırının AI destekli olduğuna işaret ediyor. Saldırganlar, üretken AI kullanarak geliştirme sürecini hızlandırmış, ancak saldırı mantığını insan eliyle kurgulamış.
Bu tehdide karşı korunmak için Fortinet ve diğer güvenlik uzmanları, katmanlı savunma stratejileri öneriyor: AutoHotkey gibi izinsiz betik motorlarını engellemek veya izole etmek, uç nokta araçlarını yalnızca diskteki dosyaları değil belleği de tarayacak şekilde yapılandırmak, zamanlanmış görevleri denetlemek ve anormal PowerShell ile giden trafiği izlemek. Ayrıca geliştiricilere yönelik phishing eğitimleri, sahte AI araç yemlerini içerecek şekilde güncellenmeli. Noma Security'den Diana Kelley, çalışanlara rastgele indirmelere güvenmek yerine, denetlenmiş bir dahili AI kaynak kütüphanesi sağlanmasını öneriyor.
Kaynak: infosecurity-magazine.com