Siber Suçlular Sahte AI Kılavuzları ve Geliştirici Araçlarıyla AsyncRAT Yayıyor Siber Güvenlik

Siber Suçlular Sahte AI Kılavuzları ve Geliştirici Araçlarıyla AsyncRAT Yayıyor

Siber suçlular, yapay zeka kılavuzları ve geliştirici araçlarına gizledikleri AsyncRAT ile kullanıcıları hedef alıyor. Saldırı tamamen güvenilir siste

Siber suçlular, yapay zeka (AI) öğrenim materyalleri ve geliştirici kaynakları kılıfına gizlenmiş kötü amaçlı yazılımlarla Windows kullanıcılarını hedef alıyor. Fortinet FortiGuard Labs araştırmacıları, 'AI-Ready PostgreSQL 18' ve 'Claude Code ile Ajan Kodlama' adlı sahte kılavuzlar aracılığıyla AsyncRAT truva atını yayan bir kampanya tespit etti. Saldırı, yapay zeka teknolojilerine ilgi duyan profesyonelleri cezbederek çok aşamalı bir zinciri tetikliyor ve tamamen güvenilir sistem araçları (PowerShell, AutoHotkey) kullanılarak fark edilmeden çalışıyor.

Saldırganlar, güncel yapay zeka bilgisine olan talebi istismar ediyor. Noma Security CISO'su Diana Kelley, 'Saldırganlar artık kötü amaçlı yazılımları güvenilir öğrenim içeriği olarak paketliyor' diyerek ekiplerin indirilen belgeleri yazılım tedarik zincirinin bir parçası olarak ele alması gerektiğini vurguluyor. Arşiv içinde bir kısayol (LNK) dosyası ve iki gizli belge bulunuyor. Kullanıcı tıkladığında, her biri bir sonraki aşamayı PDF adlı veri dosyasındaki gizli ofsetlerden çeken bir komut zinciri başlıyor; bu veriler çözülüp çalıştırılıyor.

Saldırı, zararsız bir belgeyi açarak kullanıcıya normal bir dosya gösterirken arka planda PowerShell aşamaları sessizce ilerliyor. Gerçekte Realtek ses hizmeti gibi görünen iki dosya, aslında AutoHotkey'in kopyaları. AutoHotkey, meşru bir otomasyon aracıdır ve saldırganlar tarafından yürütme motoru olarak kullanılıyor. Kötü amaçlı mantık, derlenmiş ikili dosyalara kıyasla daha zor tespit edilebilen betiklerde saklanıyor. Bu sayede antivirüs yazılımları ve güvenlik duvarları atlatılıyor.

Sistem Güvenliği

Bir saldırı dalında, sahte bir manifest dosyasındaki sayılardan gizli bir program yeniden oluşturuluyor ve proses hollowing (işlem oyuklaştırma) tekniğiyle gerçek bir .NET işleminin içinde çalıştırılıyor. Manifest, iki .NET yükü ortaya çıkarıyor: Fortinet'in clay_Client olarak izlediği modüler bir uzaktan erişim truva atı (RAT) ve kendi komuta kontrol (C2) sunucusuna bağlanan AsyncRAT. Viakoo IoT siber güvenlik firmasından John Gallagher, bu saldırının 'mevcut bir vektörün yapay zeka ile daha hızlı ve gizli hale getirilmiş hali' olduğunu belirtiyor.

Windows işlevleri, Çin mitolojisinden takma adlar ve temizlenmemiş Çince yorumlar kullanılarak gizleniyor. Bu yorumlar, yapay zeka destekli geliştirmeye işaret ediyor; üretken yapay zeka, saldırının yapımını hızlandırırken insan saldırgan saldırı mantığını belirliyor. Acalvio CEO'su Ram Varadarajan, bu durumu 'bileşimsel opaklık' olarak adlandırıyor: saldırılar adımlara bölünüyor ve her biri tek başına zararsız görünüyor. Bu nedenle geleneksel güvenlik önlemlerini aşmak kolaylaşıyor.

Fortinet ve diğer analistler, bu tür saldırılara karşı katmanlı savunma öneriyor: AutoHotkey gibi izinsiz betik motorlarını engellemek veya yalıtmak; uç nokta araçlarını yalnızca diskteki dosyaları değil, belleği de tarayacak şekilde yapılandırmak; zamanlanmış görevleri denetlemek ve olağandışı PowerShell ile giden trafiği izlemek; geliştiricilere yönelik, sahte yapay zeka araçları kullanılarak yapılan oltalama eğitimleri düzenlemek. Kelley ayrıca, çalışanlara rastgele indirmelere güvenmek yerine, güvenilir bir iç yapay zeka kaynak kütüphanesi sağlanmasını öneriyor.

Kaynak: infosecurity-magazine.com

Paylaş: