Giriş
Kötü niyetli yazılımcılar, Google Reklamlarını ve Claude.ai üzerindeki meşru paylaşılan sohbetleri kötüye kullanarak aktif bir kötü amaçlı reklam kampanyası yürütüyorlar. Kullanıcılar “Claude mac download” araması yaptıklarında, meşru görünen arama sonuçları aracılığıyla kötü amaçlı yazılımlar yükleyen talimatlarla karşılaşabiliyorlar.
Saldırı Nasıl Çalışıyor?
Bu kampanya, Trendyol Grubu’ndan güvenlik mühendisi Berk Albayrak tarafından keşfedildi ve LinkedIn üzerinden paylaşıldı. Albayrak, “Claude Code on Mac” kurulum kılavuzu olarak kendini tanıtan ve “Apple Support” adıyla atfedilen bir Claude.ai sohbetini tespit etti.
Sohbet, kullanıcıları Terminal’i açmaya ve bir komut yapıştırmaya yönlendiriyor. Bu işlem, kullanıcıların Mac’lerine gizlice kötü amaçlı yazılım indirip çalıştırmalarına neden oluyor. BleepingComputer, Albayrak’ın bulgularını doğrulamak için farklı bir paylaşılan Claude sohbetine erişti ve bu sohbette de benzer bir saldırının yapıldığını обнаружил.
Her iki sohbet de benzer bir yapı ve sosyal mühendislik yaklaşımına sahip fakat farklı alan adları ve payload’lar kullanıyor. Her iki sohbet de yazının yazıldığı dönemde kamuya açık durumdaydı.
Etkilenen Sistemler
Bu saldırı, yalnızca macOS kullanıcılarını hedefliyor. Claude sohbeti aracılığıyla aşağıda belirtilen iki URL’den kötü amaçlı bir yük indiriliyor:
- Albayrak tarafından görülen bir varyant: VirusTotal: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
- BleepingComputer tarafından görülen başka bir varyant: VirusTotal: hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
Indirilen ‘loader.sh’, tamamen bellek üzerinde çalışarak, disk üzerinde belirgin bir iz bırakmıyor.
Maldware’nin Zararları
İlk aşamada yüklenen script, kurbanın IP adresini, ana bilgisayar adını, işletim sistemi versiyonunu ve klavye dilini toplayarak bunu saldırganın sunucusuna geri gönderiyor. Bu tür bir profil oluşturma, hedeflerin seçici bir şekilde belirlenmesine yönelik bir strateji olduğunu gösteriyor.
Script daha sonra ikinci aşama yükünü indirip çalıştırıyor. Bu aşamada saldırgan, sistemde uzaktan kod yürütme yeteneğine sahip oluyor ve hiçbir geleneksel uygulama ya da ikili dosya bırakmıyor. Albayrak’ın tespit ettiği varyant, daha hızlı bir yaklaşım sergiliyor ve doğrudan yürütmeye geçiyor.
Çözüm ve Korunma
Kötü amaçlı reklamlar, kötü amaçlı yazılımların dağıtımında kullanılan sürekli bir araç haline geldi. Bu kampanya, sahte bir alan adı kullanmıyor; çünkü her iki Google reklamı da claude.ai gibi meşru bir domaine yönlendiriyor. Kullanıcıların burada zararlı talimatların yer aldığı Claude’ın kendi sohbet özelliği içinde yönlendirildiği ortaya çıkıyor.
Kullanıcılar, uygulamayı indirmek için doğrudan claude.ai’a gitmelidir. Ayrıca, terminal komutları yapıştırma talimatlarının geldiği yerin güvenilir olup olmadığını her zaman sorgulamak iyi bir uygulamadır.
Öneriler
Okuyucuların alması gereken önlemler şunlardır:
- Uygulama güncellemelerini kontrol edin.
- Güvenilir olmayan kaynaklardan gelen bağlantılara tıklamaktan kaçının.
- Terminal veya komut istemcisine herhangi bir komut yapıştırmadan önce, talimatların doğruluğunu kontrol edin.
Kötü amaçlı yazılımlara karşı dikkatli olmak ve güvenlik önlemlerine riayet etmek, sisteminizin güvenliğini sağlamak adına elzemdir.
