Tehdit aktörleri, kullanıcıları bir bilgi çalma kötü amaçlı yazılım olarak adlandırmaya ikna etmek için bir cazibe olarak sahte yapay zeka (AI) destekli araçlardan yararlandığı gözlendi Acil durum.
Morphisec araştırmacısı Shmuel Uzan, geçen hafta yayınlanan bir raporda, “Geleneksel kimlik avı veya çatlak yazılım sitelerine güvenmek yerine, genellikle meşru görünümlü Facebook grupları ve viral sosyal medya kampanyaları aracılığıyla reklam veren ikna edici AI temalı platformlar oluşturuyorlar.” Dedi.
Bu sayfalarda paylaşılan yayınların tek bir yayında 62.000’den fazla görüntüleme çektiği bulundu, bu da video ve görüntü düzenleme için AI araçları arayan kullanıcıların bu kampanyanın hedefi olduğunu gösteriyor. Tanımlanan sahte sosyal medya sayfalarından bazıları Luma Dreammachine AL, Luma Dreammachine ve Grabistuslibros’ları içerir.
Sosyal medya yayınlarına giren kullanıcıların, videolar, logolar, resimler ve hatta web siteleri de dahil olmak üzere AI destekli içerik oluşturma hizmetlerini reklam veren bağlantıları tıklamaları istenir. Sahte web sitelerinden biri, kullanıcılara “yeni AI özelliklerine sahip hepsi bir arada video düzenleyicisi” sunan Capcut AI olarak maskeleniyor.
Şüphesiz kullanıcılar bu sitelere resim veya video istemlerini yükledikten sonra, daha sonra sözde AI tarafından oluşturulan içeriği indirmeleri istenir;
Dosyada, Bytedance’ın video düzenleyicisi (“capcut.exe”) ile ilişkili meşru bir ikili başlatarak enfeksiyon zincirini başlatan “Video Dream machineeai.mp4.exe” adlı aldatıcı bir dosya bulunur. Bu C ++ tabanlı yürütülebilir ürün, bir uzak sunucudan bir python yükü (“srchost.exe”) yükleyen CapCutLoader adlı bir .NET tabanlı yükleyici çalıştırmak için kullanılır.
Python ikili, tarayıcı kimlik bilgilerini, kripto para birimi cüzdanı bilgilerini ve diğer hassas verileri hasat etme yetenekleriyle birlikte gelen Noodlophile Stealer’ın dağıtılmasının yolunu açar. Select örnekleri ayrıca, enfekte olmuş ana bilgisayarlara yerleşik erişim için Xworm gibi uzaktan erişim Truva atı ile çalkalanmıştır.
Noodlophile geliştiricisi, GitHub profillerinde “Vietnam’dan tutkulu bir kötü amaçlı yazılım geliştiricisi” olduğunu iddia eden Vietnam kökenli olarak değerlendiriliyor. Hesap 16 Mart 2025’te oluşturuldu. Güneydoğu Asya Milletinin Facebook’u hedefleyen çeşitli çalma kötü amaçlı yazılım ailelerini dağıtma geçmişine sahip gelişen bir siber suç ekosistemine ev sahipliği yaptığını belirtmek gerekir.
Yapay zeka teknolojilerine kamuoyunun ilgisini çeken kötü aktörler yeni bir fenomen değildir. 2023’te Meta, Mart 2023’ten bu yana yaklaşık 10 kötü amaçlı yazılım ailesini yaymak için bir cazibe olarak Openai’nin chatgpt’ini kullandığı tespit edilen hizmetlerinde 1000’den fazla kötü amaçlı URL’nin paylaşılmasını azalttığını söyledi.
Açıklama, Cyfirma’nın, tehlikeye atılan Windows sistemlerinden çok çeşitli veri çalabilen ve saldırgan kontrollü bir telgraf botuna ekspiltrat edebilen yeni bir .NET tabanlı Stealer kötü amaçlı yazılım ailesi kodlu Pupinstealer’ı detaylandırdığı gibi geliyor.
Siber güvenlik şirketi, “Belirli bir anti-analiz savunması veya kalıcılık mekanizmaları olmadan Pupinstealer, operasyon sırasında tespit edilmesini önlemek için basit bir şekilde yürütülmeye ve düşük profilli davranışa bağlıdır.” Dedi. “Pupinstealer, ortak sistem davranışlarından ve yaygın olarak kullanılan platformları hassas bilgileri işletmek için kullanan basit ama etkili bir veri çalma kötü amaçlı yazılım biçimini örneklendirir.”