Siber suçlular, yapay zeka öğrenme materyali arayan profesyonelleri hedef alan yeni bir kampanya başlattı. Fortinet'in FortiGuard Labs analizine göre, 'AI-Ready PostgreSQL 18' ve Claude Code ile yapay zeka kodlama kılavuzu gibi dosyaların arkasına gizlenen kötü amaçlı yazılımlar, Windows kullanıcılarını hedef alarak AsyncRAT trojanını bulaştırıyor. Saldırı tamamen meşru sistem araçları üzerinden yürütülerek fark edilmeden ilerliyor.
Saldırı zinciri, bir arşiv içindeki LNK dosyası ve gizli belgelerle başlıyor. Kullanıcı dosyayı açtığında, PDF benzeri bir veri dosyasından gizli ofsetlerle çekilen komut dosyaları çalışıyor. Her adımda bir sonraki aşama deşifre edilip çalıştırılıyor. Sistemde Realtek ses hizmeti görünümünde zamanlanmış görevler oluşturuluyor ve kurbanın dikkatini dağıtmak için masum bir belge açılıyor. PowerShell aşamaları sessizce ilerlerken, kullanıcı zararsız bir dosya gördüğünü sanıyor.
Saldırıda kullanılan AutoHotkey aracı, meşru bir otomasyon yazılımı olarak biliniyor ancak kötü amaçlı kodların çalıştırılması için bir motor haline getirilmiş. Bir dalda, sahte bir manifest dosyasındaki sayılar kullanılarak gizli bir program oluşturuluyor ve process hollowing tekniğiyle gerçek bir .NET işleminin içine yerleştiriliyor. Bu manifest, Fortinet tarafından clay_Client olarak izlenen bir RAT ve AsyncRAT olmak üzere iki .NET yükü ortaya çıkarıyor. AsyncRAT, kendi komuta-kontrol sunucusuna bağlanarak uzaktan erişim sağlıyor.
Önemli Gelişmeler
Uzmanlar, bu tür saldırılara karşı katmanlı savunma öneriyor: AutoHotkey gibi izinsiz betik motorlarının engellenmesi, bellek taraması yapan uç nokta araçlarının kullanılması, zamanlanmış görevlerin denetlenmesi ve geliştiricilere yönelik yapay zeka araçlarıyla ilgili phishing eğitimi verilmesi. Ayrıca, çalışanlara güvenilir bir iç yapay zeka kaynak kütüphanesi sağlanarak rastgele indirmelere güvenmelerinin önüne geçilmesi öneriliyor.