EclecticIQ'daki güvenlik araştırmacıları, siber tehdit aktörlerinin Google Gemini'nin kodlama aracı ve Anthropic'in Claude Kodu gibi davranarak bilgi çalan kötü amaçlı yazılımlar sunmak için sahte siteler oluşturduğu yeni bir kötü amaçlı kampanyayı ortaya çıkardı.
İlk uyarı, sosyal medyada @g0njxa olarak bilinen bağımsız bir güvenlik araştırmasından geldi. 21 Nisan'da X'te, geliştiricilerin Gemini AI modelleriyle doğrudan terminallerinden etkileşime geçmesine olanak tanıyan bir özellik olan Gemini komut satırı arayüzünden (CLI) yararlanan bir kimliğe bürünme kampanyası başlattılar.
EclecticIQ araştırmacıları kampanyayı bu bulgulara dayanarak araştırdı. Tehdit aktörünün Mart 2026'nın başlarında kötü amaçlı alan adlarını dağıtmaya başladığını tespit ettiler.
Uzmanların Görüşleri
Ayrıca, saldırganların kontrol ettiği bazı alan adlarında .co.uk, .us.com ve .us.org üst düzey alan adlarının seçilmesinin de gösterdiği gibi, kampanyanın muhtemelen ABD ve Birleşik Krallık'taki kullanıcıları hedef alacak şekilde coğrafi olarak uyarlandığını değerlendirdiler.
Sonuç ve Değerlendirme
Bilgi Hırsızı Yetenekleri
Nasıl Önlem Alınmalı?
Bu alan adlarının hedefleri açısından çekici olmasını sağlamak amacıyla, sahte alan adlarını meşru sonuçların üzerinde ortaya çıkarmak için SEO zehirleme yöntemleri kullanıldı ve kurbanlar, gerçek AI aracı kurulum sayfalarını taklit eden, saldırgan tarafından kontrol edilen altyapıya yönlendirildi.
Etki alanları, Windows uç noktalarını hedef alan ve tamamen PowerShell aracılığıyla bellekte çalışan, sonuçları şifrelenmiş biçimde bir komut ve kontrol (C2) sunucusuna aktarmadan önce çok çeşitli uygulamalardan kimlik bilgilerini ve hassas verileri toplayan bir bilgi hırsızına yol açıyor.
Sistem Güvenliği
EclecticIQ araştırmacıları 21 Mayıs tarihli bir raporda "Çalıcının toplama kapsamı, kurumsal kullanıcılara ve geliştirici iş istasyonlarına kasıtlı olarak odaklandığını ortaya koyuyor" dedi.
Oturum açma kimlik bilgilerini, oturum çerezlerini, otomatik doldurma verilerini ve form geçmişini çıkarmak için Chrome, Edge ve Brave gibi Chromium ailesi tarayıcıların yanı sıra Firefox'u da hedefler.
Komut dosyası, tarayıcıların ötesinde doğrudan kurumsal ortamlarda standart olan işbirliği ve iletişim platformlarını hedefliyor. Bunlar şunları içerir:
Slack: yerel durum anahtarı çıkarma ve ağ çerezleri
Önemli Gelişmeler
Microsoft Teams: DPAPI korumalı yerel durum şifre çözme özelliğiyle LocalAppData altında EBWebView önbellek çerezleri
Anlaşmazlık: yerel depolama LevelDB dosyaları ve yerel durum
Detaylar ve Etkileri
En önemlisi: oturum çerezleri ve yerel durum
Zoom: Zoom.us.ini'den çıkarılan DPAPI korumalı win_osencrypt_key
Teknik Analiz
Telegram Masaüstü: tdata oturum dizini
Gelecekte Ne Bekleniyor?
LiveChat, Notion, Zoho Mail Desktop: oturum çerezleri ve bölümlenmiş depolama verileri
EclicticIQ, bu platformların herhangi birindeki bir oturum çerezinin veya yerel durum anahtarının, dahili kanallar, paylaşılan dosyalar, müşteri iletişimleri ve bağlantılı entegrasyonlar dahil olmak üzere kurbanın çalışma alanına kimliği doğrulanmış erişim sağladığını belirtti.
Bilgi hırsızları ayrıca uzaktan erişim araçlarından, OpenVPN yapılandırma dosyalarından, kripto para birimi cüzdanlarından (örneğin Brave Wallet tercihleri ve Spectre cüzdan verileri), bulut depolama alanından (örneğin Proton Drive, iCloud Drive, Google Drive, MEGA, OneDrive) ve kullanıcı dosyalarından ve sistem meta verilerinden veri toplar.
Son olarak, saldırganın kurbanın cihazında isteğe bağlı uzaktan kod yürütme görevleri gerçekleştirmesine olanak tanır. Finansal motivasyona sahip siber suçlular genellikle bu tür yeteneklerden yararlanarak seçilen kurbanlara klavye üzerinden uygulamalı izinsiz girişler gerçekleştiriyor ve ele geçirilen ortamda etkileşimli kod yürütüyor.
Gemini CLI Saldırı Zinciri
Gemini CLI'yi ziyaret ettiklerini düşünen hedeflenen kurbanlar bunun yerine, yasal bir kurulum talimatı gibi görünen sahte kurulum sayfası Geminicli[.]co[.]com'a yönlendiriliyor.
Sayfa, kullanıcıdan bir PowerShell komutunu kopyalayıp terminaline yapıştırmasını ister. Yürütüldüğünde komut, bilgi hırsızı indirici yükünü indirmek için gemini-setup[.]com'a ulaşır.
İndirme işlemi tamamlandıktan sonra bilgi hırsızı, güvenliği ihlal edilmiş ana bilgisayarlardan sızdırılan verileri almak için kullanılan bir altyapı olan events[.]msft23[.]com'da barındırılan C2 sunucusuyla bağlantı kurar.
Claude Kodu Saldırı Zinciri
30 Mart'ta EclicticIQ, birisinin Claude Code'u taklit eden iki ek alan kaydettiğini gözlemledi: claudecode[.]co[.]com ve claude-setup[.]com.
Gemini CLI kimliğine bürünmeyle benzer bir modelde, kötü amaçlı etki alanı Claudecode[.]co[.]com, Anthropic'in resmi belgeleriyle görsel olarak tutarlı, klonlanmış bir kurulum sayfası barındırır ve kullanıcıya aracı 'kurması' için bir PowerShell komutu sunar; Claude-setup[.]com ise indirilen son yükü barındırır.
Yürütmenin ardından, bilgi hırsızı kötü amaçlı yazılımı, sızdırılmış verileri olaylar[.]ms709[.]com'a gönderir; Claude Code'u taklit etme kampanyası için C2 sunucusu.
Her iki saldırı zinciri arasındaki benzerlikler, her iki saldırının arkasında tek bir tehdit aktörünün olduğunu güçlü bir şekilde gösteriyor.
Görsel katkıları: Stok tümü / aileenchik / Shutterstock.com