Tehdit aktörleri, profesyonelleri AsyncRAT truva atıyla sonuçlanan çok aşamalı bir saldırı gerçekleştirmeleri için kandırmak amacıyla kötü amaçlı yazılımları yapay zeka çalışma kılavuzları ve geliştirici kaynakları olarak kullanıyor.
Fortinet'in FortiGuard Laboratuvarlarından yapılan yeni analiz, "AI-Ready PostgreSQL 18" gibi adlara sahip bubi tuzaklı dosyaları ve Claude Code ile aracılı kodlamaya yönelik sahte bir kılavuzu tanımladı; bunların tümü, yapay zeka öğrenme materyali arayan insanları hedef alıyordu.
Araştırmacılar, kampanyanın herhangi bir kuruluştaki Windows kullanıcılarını hedef aldığını ve gizli kalmak için tamamen güvenilir sistem araçlarıyla çalıştığını söyledi.
Gelecekte Ne Bekleniyor?
Dosyasız AsyncRAT saldırıları hakkında daha fazlasını okuyun: Dosyasız Kötü Amaçlı Yazılım, Yasal Araçlar Aracılığıyla Gelişmiş RAT Kullanıyor
Sahte Kılavuzlar Aşamalı Zincir Açıyor
Teknik Analiz
Cazibe, yapay zeka teknik bilgisine olan taleple oynuyor. Ekipleri indirilen belgeleri ve eğitim varlıklarını yazılım tedarik zincirinin bir parçası olarak değerlendirmeye çağıran Noma Security'nin CISO'su Diana Kelley, "Saldırganlar artık kötü amaçlı yazılımları güvenilir öğrenme içeriği olarak paketliyor" dedi.
Arşivin içinde bir kısayol (LNK) dosyası ve iki gizli belge bulunur. Bunu açmak, her biri bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli uzaklıklardan çeken, şifresini çözen ve ilerledikçe çalıştıran bir komut dosyası zincirini tetikler.
Nasıl Önlem Alınmalı?
Realtek ses hizmetleri olarak gizlenen zamanlanmış görevleri yerleştirir ve temiz bir sahte belge açar, böylece PowerShell aşamaları sessizce çalışırken kurban zararsız bir dosya görür.
Realtek bileşenleri gibi görünen iki dosya, aslında bir yürütme motoru olarak yeniden tasarlanmış meşru bir otomasyon aracı olan AutoHotkey'in kopyalarıdır, bu nedenle kötü amaçlı mantık, derlenmiş ikili dosyalardan parmak izi alınması daha zor olan komut dosyalarında bulunur.
Bir dal, sahte bildirimdeki sayılardan gizli bir programı yeniden oluşturuyor ve onu gerçek bir .NET süreci içinde çalıştırmak için süreç boşluğunu kullanıyor. Bildiri iki .NET verisi sağlıyor: Fortinet'in clay_Client olarak izlediği modüler bir uzaktan erişim truva atı (RAT) ve kendi komuta ve kontrol (C2) sunucusuna işaret eden AsyncRAT.
Sonuç ve Değerlendirme
IoT siber güvenlik firması Viakoo Başkan Yardımcısı John Gallagher, bunun yapay zeka ile "mevcut bir saldırı vektörü olduğunu, daha hızlı gerçekleştirildiğini ve daha gizli hale getirildiğini" söyledi. AutoHotkey gibi onaylanmamış komut dosyası yazma motorlarının engellenmesinin tekniği kapatacağını ekledi.
Yapay Zeka Destekli Kötü Amaçlı Yazılımların Belirtileri
Windows işlevleri, Çin mitolojisindeki takma adların arkasına saklanıyor ve temizlenmemiş Çince yorumlar, yapay zeka destekli geliştirmeye işaret ediyor; üretken yapay zeka, bir insan saldırı mantığını ayarlarken yapıyı hızlandırıyor.
Önemli Gelişmeler
Şifre çözme teknolojisi firması Acalvio'nun CEO'su Ram Varadarajan, bunun "bileşimsel opaklık" olarak adlandırdığı daha geniş bir eğilimin, adımlara bölünen ve kendi başına zararsız görünen saldırıların bir parçası olduğunu söyledi.
Fortinet ve analistler bu tür siber saldırıları önlemek için katmanlı savunmalara dikkat çekti:
AutoHotkey gibi onaylanmamış komut dosyası oluşturma motorlarını engelleyin veya yalıtın
Sistem Güvenliği
Yalnızca diskteki dosyaları değil, belleği de tarayacak şekilde uç nokta araçlarını ayarlayın
Detaylar ve Etkileri
Zamanlanmış görevleri denetleyin ve sıra dışı PowerShell ve giden trafiği izleyin
Sahte yapay zeka araçları kullanarak kimlik avı eğitimini geliştiricilere hedefleyin
Uzmanların Görüşleri
Kelley ayrıca personele, rastgele indirmelere güvenmek yerine, yapay zeka kaynaklarının yer aldığı, incelenmiş bir dahili kütüphane verilmesini önerdi.