Sahte Gemini ve Claude Kod Siteleriyle Yayılan Infostealer: SEO Zehirlenmesi Tehlikesi Yazılım

Sahte Gemini ve Claude Kod Siteleriyle Yayılan Infostealer: SEO Zehirlenmesi Tehlikesi

Siber güvenlik firması EclecticIQ, sahte Gemini ve Claude Code siteleriyle bilgi çalan zararlı yazılım yayan bir kampanya keşfetti. SEO zehirlenmesiyl

Siber güvenlik araştırmacıları, Google Gemini ve Anthropic Claude Code'u taklit eden sahte web siteleri aracılığıyla bilgi çalan kötü amaçlı yazılım (infostealer) yayıldığını ortaya çıkardı. EclecticIQ tarafından yapılan incelemeye göre, siber suçlular bu sahte siteleri oluşturarak kullanıcıların hassas verilerini ele geçirmeyi hedefliyor. İlk uyarı, bağımsız güvenlik araştırmacısı @g0njxa tarafından 21 Nisan'da yapıldı ve Gemini komut satırı arayüzünü (CLI) taklit eden bir kampanyaya dikkat çekildi. EclecticIQ, tehdit aktörünün Mart 2026 başında kötü amaçlı alan adlarını kullanmaya başladığını ve kampanyanın özellikle ABD ile İngiltere'deki kullanıcıları hedef aldığını belirledi.

Kampanyada kullanılan SEO zehirlenmesi yöntemiyle, sahte alan adları arama sonuçlarında meşru sitelerin üzerinde görünerek kullanıcıları yanıltıyor. Kurbanlar, sahte Gemini CLI veya Claude Code kurulum sayfalarına yönlendiriliyor. Bu sayfalar, kullanıcılardan bir PowerShell komutunu kopyalayıp terminale yapıştırmalarını istiyor. Komut çalıştırıldığında, zararlı yazılım indirilip bellekte çalıştırılarak tarayıcı oturum çerezleri, kimlik bilgileri ve kurumsal uygulamalardan hassas veriler toplanıyor. Toplanan veriler şifrelenmiş halde komuta kontrol (C2) sunucusuna gönderiliyor.

Infostealer, Chrome, Edge, Brave gibi Chromium tabanlı tarayıcıların yanı sıra Firefox'tan da giriş bilgileri, oturum çerezleri ve otomatik doldurma verilerini çalıyor. Ayrıca Slack, Microsoft Teams, Discord, Mattermost, Zoom ve Telegram gibi kurumsal iletişim araçlarına da sızıyor. EclecticIQ raporuna göre, bu platformlardan ele geçirilen oturum çerezleri, saldırganlara kurbanın çalışma alanına tam erişim sağlıyor. Bunun yanı sıra, uzaktan erişim araçları, OpenVPN yapılandırma dosyaları, kripto para cüzdanları ve bulut depolama hizmetlerinden de veri toplanıyor. Saldırganlar ayrıca hedef cihazda uzaktan kod çalıştırma yeteneğine de sahip.

Hem Gemini CLI hem de Claude Code taklit kampanyalarındaki benzerlikler, aynı tehdit aktörünün her iki saldırıyı da yürüttüğünü gösteriyor. Gemini CLI saldırısında geminicli[.]co[.]com ve gemini-setup[.]com alan adları kullanılırken, Claude Code için claudecode[.]co[.]com ve claude-setup[.]com alan adları kaydedildi. Her iki durumda da C2 sunucuları farklı olsa da (events[.]msft23[.]com ve events[.]ms709[.]com), saldırı zincirleri neredeyse aynı. Kullanıcıların, geliştirici araçlarını yalnızca resmi kaynaklardan indirmeleri ve şüpheli PowerShell komutlarını çalıştırmamaları öneriliyor.

Paylaş: