Yapay Zeka Rehberi Kılığında Gelen Tehdit: AsyncRAT Zararlısı Windows Kullanıcılarını Hedef Alıyor Linux

Yapay Zeka Rehberi Kılığında Gelen Tehdit: AsyncRAT Zararlısı Windows Kullanıcılarını Hedef Alıyor

Siber suçlılar, yapay zeka rehberleri ve geliştirici araçlarını kullanarak AsyncRAT trojanını yayıyor. Fortinet raporuna göre, çok aşamalı saldırı Win

Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. Fortinet'in FortiGuard Labs ekibinin yayınladığı son rapora göre, siber suçlular yapay zeka öğrenme materyalleri ve geliştirici araçları kılığına giren zararlı yazılımlarla Windows kullanıcılarını hedef alıyor. 'AI-Ready PostgreSQL 18' ve 'Claude Code ile Ajan Kodlama' gibi başlıklarla sunulan dosyalar, aslında AsyncRAT trojanını barındıran çok aşamalı bir saldırının ilk adımı. Bu kampanya, özellikle yapay zeka öğrenmek isteyen profesyonelleri ve geliştiricileri hedef alıyor.

Saldırı, tamamen güvenilir sistem araçlarını kullanarak gizleniyor. Araştırmacılar, bu yöntemin dosyasız (fileless) saldırı kategorisine girdiğini ve geleneksel antivirüs yazılımlarını atlatabildiğini belirtiyor. Noma Security'nin CISO'su Diana Kelley, 'Saldırganlar artık zararlı yazılımları güvenilir öğrenme içeriği olarak paketliyor' diyerek, ekiplerin indirilen belgeleri ve eğitim materyallerini yazılım tedarik zincirinin bir parçası olarak ele alması gerektiğini vurguluyor.

Saldırı zinciri, bir arşiv dosyası içinde gizlenmiş kısayol (LNK) dosyası ve iki gizli belgeyle başlıyor. Kullanıcı dosyayı açtığında, bir dizi PowerShell betiği çalışıyor. Her betik bir sonraki aşamayı, PDF adı verilmiş bir veri dosyasındaki gizli ofsetlerden çekip şifresini çözüyor ve çalıştırıyor. Bu süreçte, kurbanın görmesi için temiz bir sahte belge açılırken, arka planda PowerShell aşamaları sessizce ilerliyor. Ayrıca, sistemde 'Realtek ses hizmeti' gibi görünen zamanlanmış görevler oluşturuluyor.

Sonuç ve Değerlendirme

İki dosya, Realtek bileşeni kılığında olsa da aslında AutoHotkey adlı meşru bir otomasyon aracının kopyaları. AutoHotkey, zararlı mantığı barındıran betiklerin çalıştırılması için kullanılıyor. Bu yöntem, derlenmiş ikili dosyalara kıyasla daha az iz bırakıyor ve tespit edilmesi zor oluyor. Fortinet, bu saldırının bir kolunda, sahte bir manifest dosyasındaki sayılardan gizli bir programın yeniden oluşturulduğunu ve gerçek bir .NET işlemi içinde process hollowing (işlem içi boşaltma) tekniğiyle çalıştırıldığını tespit etti.

Manifest dosyası, iki .NET tabanlı yük ortaya çıkarıyor: Fortinet'in clay_Client olarak izlediği modüler bir uzaktan erişim truva atı (RAT) ve AsyncRAT. AsyncRAT, kendi komuta ve kontrol (C2) sunucusuna bağlanarak saldırgana tam erişim sağlıyor. IoT siber güvenlik firması Viakoo'nun Başkan Yardımcısı John Gallagher, bu saldırının 'mevcut bir saldırı vektörünün yapay zeka sayesinde daha hızlı ve daha gizli hale getirilmiş hali' olduğunu söylüyor. Gallagher, AutoHotkey gibi onaylanmamış betik motorlarının engellenmesinin bu tekniği durdurabileceğini ekliyor.

Saldırıda kullanılan Windows API fonksiyonlarının Çin mitolojisinden alınan takma adlarla gizlenmesi ve betiklerdeki arındırılmamış Çince yorumlar, yapay zeka destekli geliştirme ipuçları veriyor. Şifreleme teknolojisi firması Acalvio'nun CEO'su Ram Varadarajan, bu durumu 'bileşimsel opaklık' olarak adlandırdığı daha geniş bir trendin parçası olarak görüyor. Bu tür saldırılar, adımlara bölünüp tek başlarına zararsız görünerek tespit edilmekten kaçıyor. Fortinet ve diğer analistler, bu tür siber saldırılara karşı AutoHotkey gibi onaylanmamış betik motorlarının engellenmesi, uç nokta araçlarının diskteki dosyaların yanı sıra belleği de tarayacak şekilde ayarlanması, zamanlanmış görevlerin denetlenmesi ve şüpheli PowerShell ile giden trafiğin izlenmesi gibi çok katmanlı savunmalar öneriyor. Ayrıca, geliştiricilere yönelik sahte yapay zeka araçlarıyla kimlik avı eğitimlerinin düzenlenmesi ve çalışanlara güvenilir bir dahili yapay zeka kaynak kütüphanesi sağlanması da önemli.

Kaynak: infosecurity-magazine.com

Paylaş: