AI ‘Nudify’ Siteleri Kötü Amaçlı Yazılım Sunuyor

Gerçek hayattaki bir fotoğrafa dayalı sahte pornografik içerik vaat eden “Nudify” web siteleri, cinsel istismarın yanı sıra kötü amaçlı yazılım da sunabilir.

Silent Push’tan araştırmacılar Çarşamba günü yayınlanan araştırmada, genellikle Fin7 olarak takip edilen Rusya merkezli, finansal motivasyona sahip bir tehdit grubunun, kadınları dijital olarak soymayı vaat eden bir web siteleri ağını işlettiğini gözlemledi. Çoğu marka adı altında olan siteler aiNude.aikullanıcıların indirmeye yönlendirildiği bir web uzantısına veya başka bir dosyaya bir Truva Atı veya bilgi hırsızı gömün. 404 Media, bazı kötü amaçlı sitelerin kullanıcıların resim yüklemesine izin verdiğini bildirdi. “Site, görüntüyü çıplaklaştırmadı ancak ekranda gösterdi. Çıplaklaştırma için bir fotoğraf yükledikten sonra sitelerden biri, ‘deneme indirmeye hazır’ dedi.”

Fin7, Lumma Stealer, NetSupport uzaktan erişim Truva Atı ve Redline kimlik bilgileri mühürleme kötü amaçlı yazılımını sunuyor.

Carbon Spider, Elbrus ve Sangria Tempest olarak da takip edilen tehdit aktörü 2013’ten beri aktif. Güvenlik araştırmacıları REvil ve DarkSide fidye yazılımının dağıtımında rol oynadığına dair belirtiler buldu. Microsoft geçen yıl grubun Clop fidye yazılımı çetesiyle bağları olduğunu açıklamıştı.

Grup, nudify sitelerinin iki versiyonunu çalıştırıyor: biri “Deepnude Generator” aracının ücretsiz indirilmesini sunuyor, diğeri ise sitelerinin sıralamasını yükseltmek için arama motoru optimizasyonu taktiklerini kullanan varsayılan ücretsiz deneme olanağı sunuyor.

Çıplak deepfake’ler oluşturan siteler, üretken AI görüntü modellerinin kamuya açık hale gelmesiyle birlikte çevrimiçi olarak çoğaldı. San Francisco şehir avukatı David Chiu Ağustos ayında en popüler “çıplaklaştırma” web sitelerinden ve uygulamalarından 16’sına dava açarak onları cinsel istismar ve tacize karşı eyalet ve federal yasaları ihlal etmekle suçladı. Haziran ayında FBI, kötü niyetli aktörlerin şantaj malzemesi olarak çıplak deepfakeleri kullandığı konusunda uyarmıştı.

İki İngiliz-Nijeryalı adam, Oludayo Kolawale John Adeagbo (45) ve Donald Ikenna Echeazu (42), kuruluşları milyonlarca dolar dolandıran ticari e-posta uzlaşma planları düzenlemekten ABD’de hapis cezasına çarptırıldı. Bir yargıç, Adeagbo’yu yedi yıl, Echeazu’yu ise 18 ay hapis cezasına çarptırdı ve tazminat olarak 655.000 doların üzerinde ödeme yapılmasına karar verdi.

İkili, inşaat projelerini ve devlet kurumlarını hedef alarak, meşru müteahhitler gibi görünerek personeli sahte hesaplara ödeme göndermeleri için kandırdı. Kuzey Carolina’da bir üniversiteden 1,9 milyon dolar çaldılar. Teksas’ta inşaat şirketlerinden ve Galveston ve Harris ilçeleri dahil yerel yönetimlerden 3 milyon doların üzerinde para kazandılar.

FBI, siber suçluların yakalanmasında uluslararası işbirliğine övgüde bulundu. Adeagbo’nun ayrıca hapis cezasının ardından 942.000 doların üzerinde tazminat ödemesi gerekiyor.

ABD Adalet Bakanlığı, Londra’da yaşayan Robert Westbrook’u, Ocak 2019’dan Mayıs 2020’ye kadar uzanan bir dolandırıcılık kapsamında, kamuya açık olmayan bilgilerden kâr elde etmek amacıyla şirket yöneticilerinin e-posta hesaplarını hacklemekle suçladı. Adalet Bakanlığı’na göre Westbrook, ABD’deki Office365 hesaplarına erişti. – yöneticilerin yaklaşan kazanç duyuruları da dahil olmak üzere gizli bilgileri elde etmesi. Bu içeriden öğrenilen bilgiyi menkul kıymet ticareti yapmak için kullandı ve önemli karlar elde etti.

Westbrook ayrıca e-postaları ele geçirilen hesaplardan kendi hesabına aktarmak için otomatik yönlendirme kuralları da oluşturdu. Birleşik Krallık’ta tutuklanan kendisi, şimdi menkul kıymet dolandırıcılığı, elektronik dolandırıcılık ve bilgisayar dolandırıcılığı suçlamalarıyla ABD’ye iade edilme tehlikesiyle karşı karşıya.

Büyük İspanyol sigorta şirketi Mutua Madrileña, binlerce ev sigortası müşterisinin kişisel verilerini tehlikeye atan bir siber saldırıya uğradı. İspanyol medyasında yer alan haberlere göre, harici bir sağlayıcıyla bağlantılı 23 Eylül ihlali, isimler ve adresler gibi hassas bilgilerin açığa çıkmasına neden oldu.

Mutua Madrileña, İspanyol Veri Koruma Ajansı’nı bilgilendirdi ve etkilenen müşterilere, olağandışı faaliyetlere karşı banka hesaplarını ve kredi raporlarını izlemelerini tavsiye etti.

APT45 ve Silent Chollima olarak da bilinen Kuzey Koreli Stonefly grubu, ABD Adalet Bakanlığı’nın yakın tarihli bir iddianamesine rağmen ABD kuruluşlarına yönelik mali amaçlı siber saldırılarına devam ediyor. Ağustos ayında bu saldırıların kanıtlarını tespit eden Symantec araştırmacıları, Kuzey Kore’nin Genel Keşif Bürosu ile bağlantılı olan grubun, görünüşe göre odak noktasını casusluktan sınırlı istihbarat değeri olan özel şirketleri hedef almaya kaydırdığını söyledi.

Grup, komutları çalıştırabilen ve dosya indirebilen Backdoor.Preft gibi gelişmiş kötü amaçlı yazılım araçlarını kullandı. Saldırganlar ayrıca Tableau’yu taklit eden sahte sertifikalar ve Nukebot ile Sliver sızma testi çerçevesi gibi ek kötü amaçlı yazılımlar da kullandı.

Araştırmacılar, saldırıların devlet istihbaratını toplamayı amaçlamaktan ziyade finansal olarak yönlendirildiğini, bunun operasyonel stratejide önemli bir değişiklik olduğunu söyledi.

Interpol’ün Salı günü yaptığı açıklamaya göre, Fildişi Sahili ve Nijerya’daki yetkililer Batı Afrika’da siber suçlara yönelik baskı kapsamında sekiz kişiyi tutukladı. Şüphelilerin, 1,4 milyon dolardan fazla para çalan büyük ölçekli bir kimlik avı dolandırıcılığına katıldıkları iddia ediliyor.

Interpol, dolandırıcıların kurbanları küçük reklam web sitelerine yönlendirdiğini veya mağdurların giriş bilgileri veya kart numaraları gibi kişisel bilgileri girebilecekleri meşru bir ödeme platformunu taklit eden sahte web sitelerine gitmek için QR kodu kullandıklarını söyledi. Dolandırıcılar ayrıca telefonda müşteri hizmetleri temsilcilerinin kimliğine büründü.

CVE-2024-6769 olarak takip edilen bir Windows güvenlik açığı, saldırganların kullanıcı erişim kontrolünü atlamasına ve ayrıcalıkları yükseltmesine olanak tanıyarak potansiyel olarak tam sistem kontrolünü ele geçirmesine olanak tanıyor. Kusuru tespit eden Fortra araştırmacıları, bunu CVSS ölçeğinde 10 üzerinden 6,7 olarak derecelendirdi. Bu açık, Windows bütünlük düzeylerini hedef alarak saldırganların, aşağıdakiler gibi kritik dizinler de dahil olmak üzere genellikle UAC tarafından korunan sistem dosyalarını değiştirmesine olanak tanır: C:Windows.

Güvenlik açığı “Etkinleştirme Önbelleği Zehirlenmesi” ve DLL ele geçirme tekniklerini içeriyor. Saldırganlar öncelikle sistemin kök sürücüsünü kendi kontrollerine yeniden eşler ve Windows’u, CTF Yükleyici aracılığıyla yükseltilmiş ayrıcalıklarla sahte bir DLL yüklemesi için kandırır. Daha sonra etkinleştirme önbelleğini zehirlerler, Windows’un kötü amaçlı dosyalar yüklemesine yol açarak tüm sistemin tehlikeye girmesine izin verirler.

Saldırganların bu istismarı gerçekleştirebilmeleri için yönetici erişimine zaten ihtiyaç duymaları nedeniyle Microsoft, CVE-2024-6769’u bir güvenlik açığı olarak değerlendirmemektedir. Microsoft’un tutumu, “Yönetim süreçleri ve kullanıcılar, Windows için Güvenilir Bilgi İşlem Tabanının bir parçası olarak kabul edilir ve bu nedenle çekirdek sınırından güçlü bir şekilde izole değildir”.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla