Siber suçlular, yapay zeka öğrenme materyali arayan profesyonelleri hedef alan yeni bir kampanyada, zararlı yazılımları AI rehberleri ve geliştirici araçları gibi gizliyor. Fortinet FortiGuard Labs analizine göre, 'AI-Ready PostgreSQL 18' ve sahte Claude Code rehberi gibi dosyalar, çok aşamalı bir saldırı başlatarak AsyncRAT trojanını kuruyor. Saldırı, Windows kullanıcılarını hedef alırken, tüm aşamalar güvenilir sistem araçları üzerinden yürütülerek gizleniyor.
Saldırı zinciri, bir kısayol (LNK) dosyası ve iki gizli belge içeren arşivle başlıyor. Açıldığında, her biri bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli ofsetlerden çeken bir dizi betik tetikleniyor. Betikler, PowerShell üzerinden çalışırken, kurbanın dikkatini dağıtmak için temiz bir yem belge açıyor ve Realtek ses hizmeti kılığında zamanlanmış görevler oluşturuyor. Bu sayede saldırı fark edilmeden ilerliyor.
İki Realtek bileşeni olarak gizlenen dosyalar aslında AutoHotkey adlı meşru bir otomasyon aracının kopyaları. Saldırganlar, AutoHotkey'i yürütme motoru olarak kullanarak kötü amaçlı mantığı derlenmiş ikili dosyalardan daha zor tespit edilen betiklerde saklıyor. Bir aşamada, sahte bir manifest dosyasındaki sayılardan gizli bir program oluşturuluyor ve işlem içi boşaltma (process hollowing) ile gerçek bir .NET işleminin içinde çalıştırılıyor. Bu, Fortinet'in clay_Client olarak takip ettiği modüler bir RAT ve kendi C2 sunucusuna bağlanan AsyncRAT'ı ortaya çıkarıyor.
Nasıl Önlem Alınmalı?
Uzmanlar, bu tür saldırılara karşı katmanlı savunma öneriyor: AutoHotkey gibi onaylanmamış betik motorlarını engellemek, bellek taraması yapan uç nokta araçları kullanmak, zamanlanmış görevleri denetlemek ve geliştiricilere yönelik sahte AI araçları içeren phishing eğitimi vermek. Ayrıca, çalışanların rastgele indirmeler yerine kurum içi onaylı AI kaynak kütüphanesi kullanması öneriliyor.