Yapay Zeka Kılavuzları ve Geliştirici Araçları Kılıfında AsyncRAT Tehdidi Linux

Yapay Zeka Kılavuzları ve Geliştirici Araçları Kılıfında AsyncRAT Tehdidi

Siber suçlular, sahte AI kılavuzları ve geliştirici araçlarıyla Windows kullanıcılarını hedef alarak AsyncRAT truva atını yayıyor.

Siber suçlular, yapay zeka öğrenme materyali arayan profesyonelleri hedef alan yeni bir kampanyada kötü amaçlı yazılımları AI çalışma kılavuzları ve geliştirici araçları olarak gizliyor. Fortinet'in FortiGuard Labs analizine göre, 'AI-Ready PostgreSQL 18' ve Claude Code ile ajan kodlama kılavuzu gibi dosyalar, kurbanları çok aşamalı bir saldırıya çekiyor. Saldırı, herhangi bir kurumdaki Windows kullanıcılarını hedef alıyor ve tamamen güvenilir sistem araçları üzerinden çalışarak gizleniyor.

Saldırı zinciri, talep gören AI bilgisine odaklanıyor. Arşiv içinde bir kısayol (LNK) dosyası ve iki gizli belge bulunuyor. Açıldığında, her biri bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli ofsetlerden çeken bir dizi betik tetikleniyor. Betikler, Realtek ses hizmetleri kılığında zamanlanmış görevler oluşturuyor ve kurbanın zararsız bir dosya görmesi için temiz bir yem belgesi açıyor. PowerShell aşamaları sessizce çalışırken, iki Realtek bileşeni aslında AutoHotkey'in kopyaları oluyor; bu meşru otomasyon aracı, derlenmiş ikili dosyalardan daha zor tespit edilen betiklerle kötü amaçlı mantığı çalıştırmak için kullanılıyor.

Bir dal, sahte bir manifestodaki sayılardan gizli bir programı yeniden oluşturup gerçek bir .NET işlemi içinde çalıştırmak için process hollowing kullanıyor. Manifesto, Fortinet'in clay_Client olarak izlediği modüler bir uzaktan erişim truva atı (RAT) ve kendi komuta-kontrol (C2) sunucusuna bağlanan AsyncRAT olmak üzere iki .NET yükü ortaya çıkarıyor. Viakoo IoT siber güvenlik firması Başkan Yardımcısı John Gallagher, bunun 'mevcut bir saldırı vektörü olduğunu, ancak AI ile daha hızlı ve daha gizli hale getirildiğini' belirtiyor. AutoHotkey gibi onaylanmamış betik motorlarını engellemenin tekniği durdurabileceğini ekliyor.

Sonuç ve Değerlendirme

Windows işlevleri, Çin mitolojisinden takma adlar ve temizlenmemiş Çince yorumlarla gizleniyor; bu da AI destekli geliştirmeye işaret ediyor. Üretken AI, yapıyı hızlandırırken insan saldırı mantığını belirliyor. Acalvio CEO'su Ram Varadarajan, bu durumu 'bileşimsel opaklık' olarak adlandırdığı daha geniş bir eğilimin parçası olarak görüyor; saldırılar adımlara bölünüyor ve tek başlarına zararsız görünüyor. Fortinet ve analistler, bu tür siber saldırıları önlemek için katmanlı savunmalar öneriyor: AutoHotkey gibi onaylanmamış betik motorlarını engellemek, uç nokta araçlarını diskteki dosyaların yanı sıra belleği de tarayacak şekilde ayarlamak, zamanlanmış görevleri denetlemek, olağandışı PowerShell ve giden trafiği izlemek ve geliştiricilere yönelik sahte AI araç tuzakları içeren kimlik avı eğitimi vermek. Kelley ayrıca, personelin rastgele indirmelere güvenmek yerine doğrulanmış bir dahili AI kaynak kütüphanesi sağlamasını öneriyor.

Paylaş: