Siber suçlular, yapay zeka çalışma kılavuzları ve geliştirici araçları kılığına girerek profesyonelleri hedef alan çok aşamalı bir saldırı başlatıyor. Fortinet'in FortiGuard Labs analizine göre, 'AI-Ready PostgreSQL 18' ve Claude Code ile ajan kodlama rehberi gibi adlara sahip tuzak dosyalar, yapay zeka öğrenme materyali arayan kişileri hedef alıyor. Saldırı, Windows kullanıcılarını etkiliyor ve güvenilir sistem araçları üzerinden yürütülerek gizleniyor.
Saldırı zinciri, talep gören yapay zeka bilgisi üzerine kurulu. Arşiv içinde bir kısayol dosyası ve iki gizli belge bulunuyor. Açıldığında, her biri bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli ofsetlerden çeken bir dizi betik tetikleniyor. Betikler, şifre çözme ve yürütme işlemlerini gerçekleştiriyor. Saldırı, Realtek ses hizmeti kılığında zamanlanmış görevler oluşturuyor ve kurbanın zararsız bir dosya görmesi için sahte bir belge açıyor.
Realtek bileşeni gibi görünen iki dosya aslında AutoHotkey kopyaları. Bu meşru otomasyon aracı, yürütme motoru olarak kullanılıyor ve kötü niyetli mantık, derlenmiş ikili dosyalardan daha zor tespit edilen betiklerde saklanıyor. Bir dal, sahte bir manifestodaki sayılardan gizli bir program oluşturuyor ve process hollowing ile gerçek bir .NET işlemi içinde çalıştırıyor. Manifest, iki .NET yükü ortaya çıkarıyor: clay_Client ve AsyncRAT.
Uzmanlar, bu tür saldırılara karşı katmanlı savunma öneriyor: AutoHotkey gibi onaylanmamış betik motorlarını engellemek, uç nokta araçlarını bellek taramasına ayarlamak, zamanlanmış görevleri denetlemek ve geliştiricilere yönelik sahte yapay zeka araçlarıyla kimlik avı eğitimi vermek. Ayrıca, çalışanlara güvenilir bir iç yapay zeka kaynak kütüphanesi sağlamak da önemli.