Siber güvenlik araştırmacıları, Google'ın Gemini yapay zeka aracını ve Anthropic'in Claude Code platformunu taklit eden sahte web siteleri aracılığıyla bilgi çalma amaçlı yeni bir kötü amaçlı yazılım kampanyasını gün yüzüne çıkardı. EclecticIQ firması tarafından yapılan incelemelerde, siber tehdit aktörlerinin bu sahte siteleri kullanarak kullanıcıların hassas verilerini ele geçirdiği belirlendi. Kampanya, bağımsız bir güvenlik araştırmacısı olan @g0njxa'nın 21 Nisan'da sosyal medyada yaptığı uyarıyla başladı. Araştırmacı, Gemini komut satırı arayüzünü (CLI) taklit eden bir kampanyaya dikkat çekti.
EclecticIQ uzmanları, tehdit aktörünün Mart 2026'nın başlarında kötü amaçlı alan adlarını kullanmaya başladığını tespit etti. Kampanyanın coğrafi olarak ABD ve İngiltere'yi hedef aldığı değerlendiriliyor; zira saldırganların kontrolündeki alan adlarında .co.uk, .us.com ve .us.org gibi üst düzey alan adları kullanılıyor. Sahte sitelerin meşru sonuçların üzerinde çıkması için SEO zehirlenmesi yöntemleri kullanılıyor. Kullanıcılar, gerçek kurulum sayfalarını taklit eden bu sitelere yönlendiriliyor ve buradan indirilen kötü amaçlı yazılım, Windows sistemlerini hedef alarak tamamen bellek içinde çalışan bir bilgi hırsızı (infostealer) yüklüyor.
Bilgi hırsızı, PowerShell aracılığıyla çalışarak Chromium tabanlı tarayıcılar (Chrome, Edge, Brave) ve Firefox'tan giriş bilgileri, oturum çerezleri, otomatik doldurma verileri ve form geçmişini topluyor. Ayrıca Slack, Microsoft Teams, Discord, Mattermost, Zoom, Telegram Desktop, LiveChat, Notion ve Zoho Mail gibi kurumsal ortamlarda yaygın olarak kullanılan iş birliği platformlarını hedef alıyor. EclecticIQ, bu platformlardan elde edilen oturum çerezleri veya yerel durum anahtarlarının, saldırganlara kurbanın çalışma alanına tam erişim sağladığını belirtiyor. Bunun yanı sıra, uzaktan erişim araçları, OpenVPN yapılandırma dosyaları, kripto para cüzdanları ve bulut depolama hizmetlerinden de veri toplanıyor.
Teknik Analiz
Her iki saldırı zinciri de benzerlikler taşıyor. Gemini CLI taklidi yapan sahte site 'geminicli[.]co[.]com', kullanıcıdan bir PowerShell komutunu kopyalayıp terminale yapıştırmasını istiyor. Bu komut, 'gemini-setup[.]com'dan kötü amaçlı yükü indiriyor ve ardından 'events[.]msft23[.]com'daki C2 sunucusuna bağlanıyor. Claude Code için ise 'claudecode[.]co[.]com' ve 'claude-setup[.]com' alan adları kullanılıyor; benzer şekilde bir PowerShell komutuyla yük indiriliyor ve veriler 'events[.]ms709[.]com'a gönderiliyor. EclecticIQ, bu benzerliklerin aynı tehdit aktörünün her iki kampanyayı da yürüttüğünü gösterdiğini vurguluyor. Kullanıcıların yalnızca resmi kaynaklardan yazılım indirmeleri ve şüpheli PowerShell komutlarını çalıştırmaktan kaçınmaları önemle tavsiye ediliyor.