Siber suçlular, yapay zeka (AI) öğrenme materyalleri ve geliştirici araçları kılığına girerek profesyonelleri hedef alan yeni bir kampanya başlattı. Fortinet'in FortiGuard Labs araştırmacıları, 'AI-Ready PostgreSQL 18' ve 'Claude Code ile Ajan Kodlama' gibi isimlerle sunulan sahte rehberlerin, AsyncRAT truva atını bulaştırmak için kullanıldığını tespit etti. Saldırı, Windows işletim sistemli cihazlara odaklanıyor ve tamamen güvenilir sistem araçları üzerinden yürütülerek fark edilmeden kalıyor.
Saldırı, AI bilgisine olan yoğun talebi istismar ediyor. Noma Security CISO'su Diana Kelley, 'Saldırganlar artık kötü amaçlı yazılımları güvenilir öğrenme içeriği olarak paketliyor' diyerek ekiplerin indirilen belgeleri ve eğitim varlıklarını yazılım tedarik zincirinin bir parçası olarak ele alması gerektiğini vurguluyor. Arşiv içinde bir kısayol (LNK) dosyası ve iki gizli belge bulunuyor. Dosya açıldığında, her biri bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli ofsetlerden çeken bir komut dizisi zinciri tetikleniyor.
Zincirleme saldırı, PowerShell komutlarını sessizce çalıştırırken kurbanın zararsız bir belge görmesi için sahte bir belge açıyor. Ayrıca, Realtek ses hizmeti kılığında zamanlanmış görevler oluşturuyor. İki Realtek bileşeni olarak görünen dosya aslında AutoHotkey'in kopyaları. AutoHotkey, meşru bir otomasyon aracı olarak bilinirken, saldırganlar tarafından yürütme motoru olarak yeniden kullanılıyor. Kötü amaçlı mantık, derlenmiş ikili dosyalara kıyasla daha zor tespit edilen betiklerde saklanıyor.
Saldırının bir dalı, sahte bir manifestodaki sayılardan gizli bir programı yeniden oluşturuyor ve gerçek bir .NET işlemi içinde çalıştırmak için process hollowing tekniği kullanıyor. Manifest, iki .NET yükü ortaya çıkarıyor: Fortinet tarafından clay_Client olarak izlenen modüler bir uzaktan erişim truva atı (RAT) ve kendi komuta ve kontrol (C2) sunucusuna bağlanan AsyncRAT. Viakoo'dan John Gallagher, bu saldırının 'mevcut bir saldırı vektörü olduğunu, ancak AI ile daha hızlı ve daha gizli hale getirildiğini' belirtiyor. AutoHotkey gibi onaylanmamış betik motorlarının engellenmesinin bu tekniği durdurabileceğini ekliyor.
Windows işlevleri, Çin mitolojisinden takma adlarla gizleniyor ve temizlenmemiş Çince yorumlar, AI destekli geliştirmeye işaret ediyor. Üretken AI, saldırı mantığını bir insan belirlerken yapıyı hızlandırıyor. Acalvio CEO'su Ram Varadarajan, bu durumu 'bileşimsel opaklık' olarak adlandırdığı daha geniş bir trendin parçası olarak görüyor: saldırılar adımlara bölünüyor ve her biri kendi başına zararsız görünüyor. Fortinet ve analistler, bu tür siber saldırıları önlemek için katmanlı savunmalar öneriyor.
Uzmanların Görüşleri
Önerilen önlemler arasında AutoHotkey gibi onaylanmamış betik motorlarını engellemek veya izole etmek, uç nokta araçlarını yalnızca diskteki dosyaları değil, belleği de tarayacak şekilde yapılandırmak, zamanlanmış görevleri denetlemek ve olağandışı PowerShell ile giden trafiği izlemek yer alıyor. Ayrıca, geliştiricilere yönelik oltalama eğitimlerinde sahte AI araç tuzakları kullanılması öneriliyor. Kelley, çalışanlara rastgele indirmelere güvenmek yerine, denetlenmiş bir dahili AI kaynak kütüphanesi sağlanmasını tavsiye ediyor.
Kaynak: infosecurity-magazine.com