Cihazlarınıza fidye yazılımı ile enfekte eden silahlandırılmış AI araç montajcılarına dikkat edin


Cihazlarınıza fidye yazılımı ile enfekte eden silahlandırılmış AI araç montajcılarına dikkat edin

Siber suçlular, meşru AI çözüm montajcıları olarak gizlenmiş sofistike kötü amaçlı yazılımları dağıtarak yapay zeka araçlarının artan popülaritesini giderek daha fazla kullanıyor.

Bu ortaya çıkan tehdit manzarası, kötü niyetli aktörlerin, yıkıcı fidye yazılımı ve yıkıcı kötü amaçlı yazılımları şüpheli olmayan kurbanların sistemlerine dağıtmak için bu aldatıcı paketleri kullanarak popüler AI platformlarının ikna edici kopyalarını oluşturduğunu gördü.

AI’nın çeşitli iş sektörlerinde çoğalması, arama sıralamalarını değiştirmek için arama motoru optimizasyonu zehirlenmesi de dahil olmak üzere sofistike teknikler kullanan tehdit aktörleri için çekici bir saldırı vektörü yarattı.

Google Haberleri

Bu kötü niyetli kampanyalar, hileli web sitelerine ve bağlantıların arama sonuçlarında belirgin bir şekilde görünmesine neden olur, işletmeleri ve gerçek AI çözümleri arayan kişileri etkili bir şekilde kandırır.

Saldırganlar silahlı kurulumcularını telgraf, sosyal medya platformları ve meşru AI servis sağlayıcılarını yakından yansıtan profesyonel olarak tasarlanmış sahte web siteleri de dahil olmak üzere birden fazla kanal aracılığıyla dağıtıyor.

AI aracının reklamını sahte web sitesi (Kaynak – Cisco Talos)

Cisco Talos araştırmacıları, “Numero” olarak adlandırılan yeni keşfedilen yıkıcı kötü amaçlı yazılımlarla birlikte, siber kilidi ve Lucky_gh0 $ t firarlık yazılımı aileleri de dahil olmak üzere, vahşi doğada dolaşan AI çözümleri olarak maskelenen birden fazla farklı tehdit belirlediler.

Numero (Kaynak – Cisco Talos) çalıştıran sahte bir yükleyici yürütme akışı

Bu tehditler, özellikle işletmeler arası satış alanları, teknoloji ve pazarlama sektörleri de dahil olmak üzere AI araçlarının özellikle popüler olduğu endüstrileri hedeflemektedir ve bu sektörlerdeki kuruluşların risk maruziyetine maruz kaldıklarını göstermektedir.

Bu tehdidin kapsamı basit dosya şifrelemesinin ötesine uzanır, bazı varyantlar enfekte olmuş sistemleri tamamen kullanılamaz hale getirmek için tasarlanmış tamamen yıkıcı davranış sergiler.

Taklit edilen meşru AI araçları, önemli kullanıcı tabanlarına sahip yaygın olarak tanınan platformlardır, bu da aldatmayı özellikle güvenilir kaynaklardan yazılım gibi görünen şeyleri indirirken korumalarını düşürebilecek potansiyel kurbanlara karşı etkili hale getirir.

Siber Kilidi Fidye Yazılımı Dağıtım Mekanizması

Siber kilidi fidye yazılımı, bu AI eksik tehditlerin kullandığı sofistike teknik yaklaşımı örneklendirir.

Siber Kilidi Fidye Notu (Kaynak – Cisco Talos)

Kötü amaçlı yazılım, kaynak dosyaları olarak gömülü PowerShell komut dosyaları içeren bir .NET yürütülebilir yükleyici ile başlayan çok aşamalı bir dağıtım işlemi ile çalışır.

Mağdurlar, görünüşte meşru “novaLeadsai.exe” yükleyicisini yürüttüğünde, yükleyici aşağıdaki kod yapısını kullanarak fidye yazılımı yükünü çıkarır ve dağıtır:-

Assembly executingAssembly = Assembly.GetExecutingAssembly();
using (Stream manifestResourceStream = executingAssembly.GetManifestResourceStream("NovaLeadsAI.ps1"))
    using (StreamReader streamReader = new StreamReader(manifestResourceStream, Encoding.UTF8))
        string text4 = streamReader.ReadToEnd();

PowerShell tabanlı fidye yazılımı, GetConSoleWindow ve Showwindow işlevlerine Windows API çağrılarından konsol penceresini gizleyerek varlığını hemen gizler.

Cyberlock, ayrıcalık yükseltme de dahil olmak üzere gelişmiş yetenekleri gösterir, burada yüksek bir bağlamda çalışmıyorsa kendisini idari haklarla otomatik olarak yeniden güçlendirir.

Kötü amaçlı yazılım, “.cyberlock” uzantısını eklerken AES şifrelemesini kullanarak dosyaları şifreleme mantıksal bölümleri arasında geniş bir dosya türü aralığını hedefler.

Şifreleme işlemini tamamladıktan sonra Cyberlock, ücretsiz disk alanını güvenli bir şekilde silmek için “/W” seçeneğiyle yerleşik Windows Cipher.exe yardımcı programını kullanır, adli kurtarma çabalarını etkili bir şekilde engeller ve orijinal şifrelenmemiş dosyaların izlerini ortadan kaldırır.

9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.



Source link