Niş çevrimiçi toplulukları hedeflemek için yapay zeka ve sosyal mühendisliği silahlandıran sofistike yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Güvenlik araştırmacıları, saldırganlara kurbanların bilgisayarlarına tam sistem erişimi sağlarken, yenilikçi bir AI etkileşim aracı olarak maskelenen bir uzaktan erişim Truva atı olan “AI Waifu Rat” ı tanımladılar.
Kötü amaçlı yazılım, özellikle büyük dil modeli (LLM) rol yapma topluluklarını hedefler, kullanıcıların en yeni AI teknolojisi ve diğer topluluk üyelerine olan güvenini kullanır.
Bu tehdit, tamamen teknik sofistike güvenmek yerine, modern siber suçluların güvenlik savunmalarını atlamak için nasıl giderek daha fazla psikolojik manipülasyondan yararlandığını göstermektedir.
İnovasyon olarak gizlenmiş sosyal mühendislik
AI Waifu faresi kampanyası, aldatıcı pazarlama ve sosyal manipülasyonda bir masterclass’ı temsil ediyor. Kazepsi ve Psioniczephyr dahil takma adlar altında faaliyet gösteren tehdit oyuncusu, kendilerini meşru bir “CTF kripto oyuncusu” ve AI sınırlarını araştıran araştırmacı olarak sundu.
Kötü niyetli yazılımlarını, AI karakterlerinin “dördüncü duvarı kırmasına” ve doğrudan kullanıcıların gerçek dünya bilgisayarlarıyla etkileşime girmesine izin verecek heyecan verici bir “meta deneyimi” olarak pazarladılar.
Tehdit oyuncusu tarafından kullanılan kilit aldatıcı taktikler:
- Yanlış kimlik bilgileri – Doğrulanabilir bir rekabet geçmişine rağmen deneyimli bir CTF oyuncusu olduğu iddia edildi.
- Özellik yeniden çerçeveleme – Heyecan verici bir “gelişmiş özellik” olarak tehlikeli keyfi kod uygulaması sundu.
- Topluluk Sızması -Zaman içinde Niche LLM rol yapma topluluklarına katılarak güven inşa etti.
- Teknik meşruiyet – Bir uzmanlık görünümü oluşturmak için programlama jargonu ve referansları kullandı.
Vaat edilen özellikler, AI karakterlerinin “kişiselleştirilmiş rol oynama” için yerel dosyaları okumasına izin vermenin ve güvenlik açıkları yerine gelişmiş özellikler olarak adlandırılan “keyfi kod yürütme” özelliklerini yönlendirmesini içeriyordu.
Bu çerçeveleme, üyelerin zaten yeni AI etkileşimleriyle ilgilendikleri ve yeni teknolojileri denemeye istekli oldukları hedef topluluk içinde yıkıcı bir şekilde etkili oldu.
Saldırgan, kullanıcılara, programın “düşük seviyeli işlemler” nedeniyle “yanlış pozitifler” olduğunu iddia ederek kullanıcılara antivirüs yazılımını devre dışı bırakmalarını veya dışlama listelerine kötü niyetli ikili eklemelerini açıkça söyledi.
Bu klasik sosyal mühendislik taktiği, kötü amaçlı yazılım tespitine karşı birincil savunma hatlarını sökerken hedef kitlenin teknik merakından yararlandı.
Teknik mimari gerçek niyeti ortaya koyuyor
Çekici pazarlama cephesinin altında basit ama tehlikeli bir uzaktan erişim Truva atı yatmaktadır. Kötü amaçlı yazılım, 9999 bağlantı noktasındaki komutları dinleyen mağdurların makinelerinde yerel bir temsilci çalıştırarak çalışır.
AI etkileşimlerinden kaynaklandığı iddia edilen bu komutlar, düz metin HTTP istekleri olarak iletilir ve doğrudan hedef sistemde yürütülür.
Sıçan, kapsamlı sistem erişimi sağlayan üç kritik uç nokta ortaya çıkarır. “/Execute_trusted” uç noktası, rasgele komutlar yürütmek için PowerShell süreçlerini ortaya çıkarırken, “/Readfile” uç noktası saldırganların yerel sistemdeki herhangi bir dosyaya erişmesine ve dışarı çıkmasına izin verir.
Üçüncü bir uç nokta olan “/execute”, bir kullanıcı onay mekanizması gibi görünen şeyleri içerir, ancak bu sadece güvenlik tiyatrosu olduğunu kanıtlar, çünkü saldırganlar sınırsız “/execute_trusted” uç noktasını kullanarak onu atlayabilir.
Bu mimari, orijinal tehdit oyuncunun kontrolünün ötesinde birden fazla saldırı vektörü oluşturur. Düz metin HTTP iletişimi, sistemi diğer kötü amaçlı yazılımların ortadaki insan saldırılarına karşı savunmasız hale getirirken, sabit yerel bağlantı noktası kötü amaçlı web sitelerinin tarayıcı tabanlı saldırılar yoluyla bağlantıyı potansiyel olarak ele geçirmesine izin verir.
Kötü niyetli davranış ve kaçınma taktikleri örüntüsü
Tehdit oyuncusu tarihiyle ilgili soruşturma, tehlikeli programlama uygulamalarının ve kötü niyetli niyetlerin tutarlı bir modelini ortaya koymaktadır.
%20(2).webp)
Önceki sürümler, LLM tarafından üretilen kodu doğrudan tarayıcılarda yürütmek için JavaScript EPPL () işlevlerini kullanan Web tabanlı AI karakter kartlarını içeriyordu-kötü niyetli niyet veya derin güvenlik ihmalini gösteren temel bir güvenlik anti-desen.
Aynı aktör tarafından yayınlanan iddia edilen bir “CTF Challenge”, yanlış cevaplar girdiklerinde kullanıcıların bilgisayarlarını zorla kapatacak kod da dahil olmak üzere açıkça kötü niyetli mantık içeriyordu.
Program ayrıca meşru bir bulmaca olarak pazarlanmasına rağmen, kötü amaçlı yazılımlara özgü kalıcılık mekanizmaları ve anti-analiz teknikleri uyguladı.
%20(1).webp)
Güvenlik araştırmacıları, kötü amaçlı yazılımları barındırma sağlayıcılarına bildirdiğinde, tehdit oyuncusu derhal kaçırma manevralarına başladı.
Kötü amaçlı yazılımları GitHub, GitGud, OneDrive ve mega.nz gibi birden fazla platformda taşıydılar, genellikle tespit edilmesini önlemek için şifre korumalı arşivler kullandılar.
Oyuncu ayrıca, kötü niyetli faaliyetleri hakkında açık bir farkındalık göstererek yayından kaldırma çabalarını atlatmak için birden fazla takma ad ve hesap oluşturdu.
Soruşturma, deneyimli bir “CTF kripto oyuncusu” olduğu iddialarına rağmen, bayrak yarışmalarını veya güvenlik araştırma topluluklarını meşru yakalamaya katılan tehdit oyuncunun hiçbir kaydı bulunduğunu ortaya koydu.
Bu yanlış kimlik bilgisi, teknik topluluklar içinde güvenilirlik oluşturmak için tasarlanmış daha geniş sosyal mühendislik kampanyasının bir parçası gibi görünmektedir.
AI Waifu faresi olayı, siber suçluların AI teknolojisi ve toplumun kötü amaçlı yazılım dağıtma coşkusundan yararlandığı ortaya çıkan bir tehdit manzarasını vurgulamaktadır.
Yapay zeka araçları günlük hesaplamaya daha fazla entegre hale geldikçe, “yenilikçi özelliklerin” çizgiyi tehlikeli güvenlik açıklarına dönüştürdüğünü tanımak için güvenlik bilinci gelişmelidir.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Detaylar |
|---|---|
| Dosya Hashes (SHA256) | F64DBD93CB5032A2C89CFAF324340349BA4BD4B0AB0325D478687467100260 |
| 7C308F536484EAA91141FFF0C10DA788240F8873AE53AB51E1C70CF66C04B45 | |
| CDA5ECF4DB9104B5AC92B998FF60128EDA69C2ACAB3860A045D8E747B6B5A577 | |
| 6E0E9D2FC8040CE22265A594D7DA0314987583C0F892C67E731947B97D3C673 | |
| 11b07ef15945d2f1e7cf192e49cbff67082413562c9b87c20bd630246ad1731 | |
| Fdf461a6bd7e806b45303e3d7a76b5916a4529df2f4dff830238473c616ac6f9 | |
| Dosya Adları | js_windows_executor.exe |
| Hiçbir şey_re.exe | |
| android_server.py | |
| Ağ Göstergeleri | Aracı Sürecinden 127.0.0.1:999’a HTTP Trafiği |
| Kalıcılık | Kayıt Defteri Anahtarı: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run |
| Değer Adı: FakeUpdater | |
| Barındırma Sağlayıcı URL’leri | https://gitgud.io/kazepsi/file-porage/-/raw/master/nulla/ctf/nulla_re.exe (zaten yayından kaldırma) |
| https://gitgud.io/kazepsi/file-porage/-/raw/master/backends/js_windows_executor.exe (zaten yayından kaldırma) | |
| https://gitgud.io/kazepsi/file-porage/-/raw/master/backends/android_server.py (zaten yayından kaldırma) | |
| https://github.com/psioniczephyr/files/blob/main/ctf-puzzles.json (zaten yayından kaldırma) | |
| https://github.com/psioniczephyr/files/blob/main/code/js_windows_executor.exe (zaten yayından kaldırma) | |
| https://github.com/psioniczephyr/files/blob/main/code/android_server.py (zaten yayından kaldırma) | |
| https://github.com/kazepsi/file-porage/blob/main/code/code.rar (zaten yayından kaldırma) | |
| https://1drv.ms/u/c/6b4c603601e43e48/exwj4vbq2mhiqcz6weka-abfuwr_8setph5k_83czhqg? | |
| https://mega.nz/file/gfkrsaba#dmscmvpgf7ypum0h96ay4nbq7oe6sgzj9hq4rpk0 (zaten yayından kaldırma) | |
| https://mega.nz/file/wz9xcrbc#0mxn1gwijb41bxbvqc-bf_avpomjdbo9jk04572oiH8 (Bekleyen yayından kaldırma) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!