Siber suçlular, yapay zeka (AI) öğrenme materyali arayan profesyonelleri hedef alan yeni bir kampanyada, kötü amaçlı yazılımları AI çalışma kılavuzları ve geliştirici kaynakları olarak gizliyor. Fortinet'in FortiGuard Labs araştırmacıları, 'AI-Ready PostgreSQL 18' ve Claude Code ile aracılı kodlama rehberi gibi isimlere sahip tuzak dosyaların, çok aşamalı bir saldırı başlatarak AsyncRAT truva atını sistemlere bulaştırdığını tespit etti. Saldırı, tamamen güvenilir sistem araçlarını kullanarak gizli kalmayı başarıyor ve herhangi bir organizasyondaki Windows kullanıcılarını hedef alıyor.
Saldırı, AI bilgisine olan talebi sömürüyor. Noma Security CISO'su Diana Kelley, 'Saldırganlar artık kötü amaçlı yazılımları güvenilir öğrenme içeriği olarak paketliyor' diyerek ekiplerin indirilen belgeleri ve eğitim materyallerini yazılım tedarik zincirinin bir parçası olarak ele alması gerektiğini vurguladı. Arşiv içinde bir kısayol (LNK) dosyası ve iki gizli belge bulunuyor. Kullanıcı bunu açtığında, her biri bir sonraki aşamayı PDF adlı bir veri dosyasındaki gizli ofsetlerden çeken, şifresini çözen ve çalıştıran bir dizi betik tetikleniyor. Ardından, Realtek ses hizmeti kılığına girmiş zamanlanmış görevler oluşturuluyor ve kurbanın zararsız bir dosya gördüğü bir sahte belge açılıyor.
İki sahte Realtek bileşeni aslında meşru bir otomasyon aracı olan AutoHotkey'in kopyaları. Bu araç, kötü amaçlı mantığın derlenmiş ikili dosyalardan daha zor tespit edilen betiklerde yer almasını sağlamak için bir yürütme motoru olarak yeniden kullanılıyor. Bir dalda, sahte bir manifestodaki sayılardan gizli bir program yeniden oluşturuluyor ve gerçek bir .NET işleminin içinde çalıştırmak için process hollowing tekniği kullanılıyor. Manifest, iki .NET yükü ortaya çıkarıyor: Fortinet tarafından clay_Client olarak izlenen modüler bir uzaktan erişim truva atı (RAT) ve kendi komuta-kontrol (C2) sunucusuna bağlanan AsyncRAT.
Viakoo IoT siber güvenlik firması Başkan Yardımcısı John Gallagher, bunun 'mevcut bir saldırı vektörü olduğunu, ancak AI ile daha hızlı ve daha gizli hale getirildiğini' söyledi. Gallagher, AutoHotkey gibi izinsiz betik motorlarını engellemenin bu tekniği durdurabileceğini ekledi. Saldırıda, Windows API işlevleri Çin mitolojisinden takma adlar kullanıyor ve temizlenmemiş Çince yorumlar, AI destekli geliştirmeye işaret ediyor. Acalvio CEO'su Ram Varadarajan, bunu 'bileşimsel opaklık' olarak adlandırdığı daha geniş bir trendin parçası olarak tanımladı: saldırılar adımlara bölünüyor ve her biri kendi başına zararsız görünüyor.
Sistem Güvenliği
Fortinet ve analistler, bu tür siber saldırıları önlemek için katmanlı savunmalar öneriyor: AutoHotkey gibi izinsiz betik motorlarını engellemek veya izole etmek; uç nokta araçlarını yalnızca diskteki dosyaları değil, belleği de tarayacak şekilde yapılandırmak; zamanlanmış görevleri denetlemek ve olağandışı PowerShell ile giden trafiği izlemek; geliştiricilere yönelik sahte AI araç tuzakları kullanarak kimlik avı eğitimi vermek. Kelley ayrıca, çalışanların rastgele indirmelere güvenmek yerine, onaylanmış bir iç AI kaynak kütüphanesi sağlamasını önerdi.
Sonuç olarak, yapay zeka teknolojilerine olan ilginin artmasıyla birlikte siber suçlular da bu trendi kullanarak daha sofistike saldırılar geliştiriyor. AsyncRAT kampanyası, meşru araçların kötüye kullanılması ve dosyasız tekniklerle tespit edilmeyi zorlaştırıyor. Kuruluşların, yazılım tedarik zinciri güvenliğine daha fazla odaklanması, çalışanları düzenli olarak eğitmesi ve çok katmanlı savunma stratejileri uygulaması kritik önem taşıyor. Aksi takdirde, bu tür saldırılar hem veri sızıntısına hem de sistem ele geçirilmesine yol açabilir.
Kaynak: infosecurity-magazine.com