Sahte Gemini ve Claude Code Siteleriyle Bilgi Çalan Kötü Amaçlı Yazılım Tehdidi Yazılım

Sahte Gemini ve Claude Code Siteleriyle Bilgi Çalan Kötü Amaçlı Yazılım Tehdidi

EclecticIQ, sahte Gemini ve Claude Code siteleri üzerinden bilgi hırsızı yayıldığını duyurdu. Kampanya, SEO zehirleme ile kullanıcıları hedefliyor.

EclecticIQ güvenlik araştırmacıları, siber suçluların Google Gemini’nin kodlama aracı ve Anthropic’in Claude Code’u taklit eden sahte siteler oluşturarak bilgi hırsızı (infostealer) yaydığı yeni bir kampanya ortaya çıkardı. İlk uyarı, @g0njxa kullanıcı adlı bağımsız bir araştırmacıdan geldi. 21 Nisan’da X platformunda, Gemini komut satırı arayüzünü (CLI) kullanan bir kimlik avı kampanyasını işaret etti. EclecticIQ, bu bulguları inceleyerek tehdit aktörünün Mart 2026 başında kötü amaçlı alan adlarını kullanmaya başladığını tespit etti. Kampanyanın, .co.uk, .us.com ve .us.org gibi üst düzey alan adları kullanılarak ABD ve İngiltere’deki kullanıcıları hedef aldığı değerlendiriliyor.

Sahte alan adlarını meşru sonuçların üzerine çıkarmak için SEO zehirleme (SEO poisoning) yöntemleri kullanıldı. Kurbanlar, gerçek AI ajan kurulum sayfalarını taklit eden saldırgan kontrolündeki altyapıya yönlendirildi. Bu sayfalar, Windows uç noktalarını hedef alan ve tamamen PowerShell üzerinden bellekte çalışan bir bilgi hırsızı içeriyor. Kötü amaçlı yazılım, geniş bir uygulama yelpazesinden kimlik bilgilerini ve hassas verileri toplayıp şifreleyerek bir komuta ve kontrol (C2) sunucusuna gönderiyor. EclecticIQ raporuna göre, bu hırsız özellikle kurumsal kullanıcıları ve geliştirici iş istasyonlarını hedef alıyor. Chrome, Edge, Brave gibi Chromium tabanlı tarayıcılar ve Firefox’tan giriş bilgileri, oturum çerezleri, otomatik doldurma verileri ve form geçmişini çalıyor.

Tarayıcıların yanı sıra, betik doğrudan kurumsal ortamlarda yaygın olan işbirliği ve iletişim platformlarını hedef alıyor: Slack, Microsoft Teams, Discord, Mattermost, Zoom, Telegram Desktop, LiveChat, Notion ve Zoho Mail Desktop. Bu platformlardan alınan oturum çerezleri veya yerel durum anahtarları, saldırgana kurbanın çalışma alanına, dahili kanallara, paylaşılan dosyalara, müşteri iletişimlerine ve bağlı entegrasyonlara yetkili erişim sağlıyor. Ayrıca, uzaktan erişim araçları, OpenVPN yapılandırma dosyaları, kripto para cüzdanları (Brave Wallet, Spectre), bulut depolama (Proton Drive, iCloud Drive, Google Drive, MEGA, OneDrive) ve kullanıcı dosyaları ile sistem meta verileri de toplanıyor. Son olarak, saldırganın kurbanın cihazında uzaktan kod çalıştırmasına olanak tanıyan bu yetenek, maddi kazanç amaçlı siber suçlular tarafından seçilmiş kurbanlara yönelik klavye başında müdahalelere dönüştürülebiliyor.

Gemini CLI saldırı zincirinde, kurbanlar geminicli[.]co[.]com adresindeki sahte kurulum sayfasına yönlendiriliyor. Sayfa, kullanıcıdan bir PowerShell komutunu kopyalayıp terminale yapıştırmasını istiyor. Komut çalıştırıldığında, gemini-setup[.]com'dan bilgi hırsızı indiricisini (downloader) çekiyor ve events[.]msft23[.]com adresindeki C2 sunucusuna bağlanıyor. Claude Code kampanyasında ise 30 Mart’ta claudecode[.]co[.]com ve claude-setup[.]com alan adları kaydedildi. Benzer şekilde, sahte kurulum sayfası Anthropic’in resmi dokümantasyonunu taklit ediyor ve kullanıcıya PowerShell komutu sunuyor. Buradaki C2 sunucusu events[.]ms709[.]com. Her iki saldırı zincirindeki benzerlikler, aynı tehdit aktörünün her iki kampanyanın arkasında olduğunu güçlü bir şekilde gösteriyor.

Paylaş: