Yeni Tehditler: Ransomware ve AI Araçları
Son zamanlarda, siber suçlular, daha az bilinen ransomware ve zararlı yazılım projeleri ile ilişkilendirilerek, masum kurbanları kötü niyetli yazılımlar ile enfekte etmek için AI araçlarını kullanmaya başladılar. Bu gelişme, geçen yıl başlayan bir trendin sonucudur. İleri düzey tehdit aktörleri, kurbanlarına malware bulaştırmak için deepfake içerik üreticileri kullanmışlardır.
Bu tuzaklar, bilgi ç stolen malware operatörleri ve ransomware operasyonları tarafından kullanılmaya başlandı. Cisco Talos araştırmacıları, bu tekniklerin artık CyberLock, Lucky_Gh0$t ve yeni bir malware olan Numero adı verilen daha küçük ransomware ekipleri tarafından da benimsendiğini tespit etti.
SEO Zehirlenmesi ve Kötü Amaçlı Reklamlar
Bu kötü niyetli yazılımlar, belirli terimler için arama motoru sonuçlarında yüksek sıralamalara ulaşmak amacıyla SEO zehirlenmesi ve malvertising kullanılarak tanıtılıyor. Böylece, kullanıcıların dikkatini çekmek ve onları sahte web sitelerine yönlendirmek daha kolay oluyor.
AI Araçlarının Taklit Edilmesi
CyberLock Ransomware
CyberLock, sahte bir AI aracı web sitesi üzerinden dağıtılan PowerShell tabanlı ransomware’dir. Bu sahte web sitesi, geçerli bir site olan novaleads.app’in kılığına girmiştir.
Kurbanlar, 12 aylık ücretsiz abonelik teklifiyle cezbedilerek bir .NET yükleyici indirmeye yönlendirilir. İndirilen dosya çalıştırıldığında, CyberLock, kurbanın makinesindeki dosyaları şifreleyerek .cyberlock uzantısını ekler. Sonuç olarak, kurbanlardan 50,000 dolarlık bir fidye talep edilir ve ödemelerin Monero kripto para biriminde yapılması istenir. Fidye notunda bu fonların Filistin, Ukrayna, Afrika ve Asya’daki insani yardım projelerine destek olacağı öne sürülmektedir.
Lucky_Gh0$t Ransomware
Bir diğer örnek, Lucky_Gh0$t adlı yeni bir ransomware türüdür. Yashma’dan türetilmiş olan bu malware, Chaos ransomware temellidir. Cisco analistleri, bunu sahte bir ChatGPT yükleyicisi olarak dağıtıldığını gözlemlemiştir.
ChatGPT 4.0 full version – Premium.exe adını taşıyan bu yükleyici, kendini çıkaran bir arşiv içinde paketlenmiştir. Pakette Microsoft tarafından sunulan geçerli açık kaynak AI araçları ile birlikte ransomware yükleyicisi bulunmaktadır. Bu yöntem, antivirüs tespitinden kaçmak için kullanılmaktadır.
Eğer çalıştırılırsa, 1.2GB’tan daha küçük dosyaları şifrelerken, daha büyük dosyaları aynı boyutta bir çöp dosyasıyla değiştirerek siler. Lucky_Gh0$t kurbanları, kişisel bir ID alırken, fidye müzakereleri ve şifre çözme için Session adlı güvenli mesajlaşma platformu aracılığıyla saldırganla iletişime geçmeleri istenmektedir.
Numero Malware
Son olarak, Numero adı verilen yeni bir malware, InVideo AI yükleyicisi gibi görünüyor ancak Windows sistemlerine saldırmak için tasarlanmıştır. Bu malware, bir dropper içinde bulunan bir batch dosyası, VB script ve wintitle.exe adı verilen bir çalıştırılabilir dosya ile dağıtılmaktadır.
Numero, kurbanın grafik kullanıcı arayüzünü sürekli olarak bozar, böylece pencere başlıkları, butonlar ve içerikleri "1234567890" dizisi ile değiştirir. Bu sürekli döngü içinde, Windows sistemlerini kullanılmaz hale getirir. Ancak, bu malware veri yok etmediği ya da şifrelemediği için yalnızca görsel bir bozulma yaratmaktadır.
Sonuç Olarak
Siber suçlular, insanların AI araçlarına artan ilgisini istismar etmeye çalıştıkça, dikkatli olmak kaçınılmaz hale geliyor. Şüpheli web sitelerinden indirilen dosyalarla ilgili olarak daha temkinli davranmak daha akıllıca olacaktır. Büyük AI projelerine bağlı kalmak ve yükleyicileri resmi web sitelerinden indirmek, bu riskleri azaltmak açısından oldukça önemlidir. Kullanıcıların, sahte veya dolandırıcı web sitelerine yönlendirilen reklamlar ve bağlantılara karşı daha dikkatli olmaları gerekmektedir. Bu noktada dikkatli ve bilinçli olmak, kullanıcıların siber saldırılara karşı korunmalarında kritik bir rol oynamaktadır.
