Siber güvenlik araştırmacıları, Google Gemini ve Anthropic Claude Code'u taklit eden sahte web siteleri aracılığıyla bilgi çalan kötü amaçlı yazılımların yayıldığı yeni bir kampanya tespit etti. EclecticIQ tarafından yapılan incelemeye göre, tehdit aktörleri Mart 2026 başında kötü amaçlı alan adlarını kullanmaya başladı. Kampanyanın özellikle ABD ve İngiltere'deki kullanıcıları hedef aldığı, kullanılan .co.uk, .us.com ve .us.org gibi üst düzey alan adlarından anlaşılıyor.
Sahte siteler, SEO zehirlenmesi yöntemleriyle arama sonuçlarında üst sıralara çıkarak kullanıcıları kandırıyor. Ziyaretçiler, gerçek kurulum sayfalarını taklit eden sayfalara yönlendiriliyor. Bu sayfalarda kullanıcılardan bir PowerShell komutunu kopyalayıp terminale yapıştırmaları isteniyor. Komut çalıştırıldığında, bilgi çalan kötü amaçlı yazılım doğrudan bellekte çalışıyor ve Chrome, Edge, Brave, Firefox gibi tarayıcılardan kimlik bilgileri, oturum çerezleri ve otomatik doldurma verilerini topluyor.
Kötü amaçlı yazılım, kurumsal ortamlarda yaygın olarak kullanılan Slack, Microsoft Teams, Discord, Mattermost, Zoom ve Telegram gibi iletişim platformlarını da hedef alıyor. EclecticIQ araştırmacıları, bu platformlardan elde edilen oturum çerezleri veya yerel anahtarlar sayesinde saldırganların kurbanın çalışma alanına tam erişim sağlayabildiğini belirtiyor. Ayrıca OpenVPN yapılandırma dosyaları, kripto para cüzdanları ve bulut depolama hizmetlerinden de veri çalınıyor.
Teknik Analiz
Kampanyanın Gemini CLI taklidi, geminicli[.]co[.]com alan adı üzerinden yürütülüyor. Kullanıcılar sahte kurulum sayfasına yönlendiriliyor ve komut çalıştırıldığında kötü amaçlı yazılım events[.]msft23[.]com adresindeki komuta ve kontrol sunucusuna bağlanıyor. Benzer şekilde, Claude Code taklidi için claudecode[.]co[.]com ve claude-setup[.]com alan adları kullanılıyor. İki kampanyadaki benzerlikler, aynı tehdit aktörünün her ikisinden de sorumlu olduğunu gösteriyor.