Mantiant Tehdit Savunması, Vietnam merkezli grup UNC6032’nin sahte AI video araçları için kötü niyetli sosyal medya reklamları olan kullanıcıları çalınan ve çalıntı kimlik bilgilerine ve kredi kartı bilgilerine yol açtığı bir kampanyayı ortaya çıkarıyor.
Maniant tehdit savunması, halkın yeni AI araçları için heyecanını avlayan yaygın bir siber suç operasyonu ortaya çıkardı. UNC6032 olarak bilinen ve Vietnam’da bulunduğuna inanılan bir grup, insanları Luma AI ve Canva Dream Lab gibi popüler AI video jeneratörlerini tanıtıyormuş gibi görünen sahte sosyal medya reklamlarıyla kandırıyor.
Mantiant’ın hackread.com ile paylaşılan araştırmasına göre, UNC6032, 2024’ten beri Facebook ve LinkedIn gibi platformlarda yanıltıcı reklamlar yürütüyor. Bu reklamlar, kullanıcıları AI video oluşturma hizmetleri sunduğu görünen sahte web sitelerine yönlendirir.
Bununla birlikte, bu siteler, giriş bilgileri ve kişisel veriler gibi hassas bilgileri çalan Infostealers ve Backroors da dahil olmak üzere gizlice zararlı yazılımı indirir. Çalıntı veriler muhtemelen yasadışı çevrimiçi pazarlarda satılmaktadır.
Bu tür bir saldırı, bireylerden büyük şirketlere kadar herkes için büyük bir endişe kaynağıdır. Aslında, Mantiant’ın M TREND’leri 2025 raporuna göre, çalıntı kimlik bilgileri siber suçluların sistemlere girmesinin en yüksek ikinci yoludur. Mantiant, bu reklamlardan binlerce kullanıcıya ulaştı ve milyonlarca kullanıcıya ulaştı ve benzer kampanyaların diğer sosyal medya sitelerinde aktif olduğuna inanıyor.
Örneğin, Mantiant’ın araştırdığı özel bir saldırı, Luma Dream AI makinesi için bir Facebook reklamı ile başladı. Bir kullanıcı “Şimdi Ücretsiz Başlat” ı tıkladığında, gerçek bir AI video oluşturma sürecini taklit eden bir dizi adımla yönlendirildi.
Bir yükleme çubuğundan sonra, bir indirme düğmesi göründü, bu da video yerine kötü amaçlı yazılımı yükledi. Dosyalar, zararsız görünmek için gizli karakterler ve sahte bir .mp4 simgesi ile bir hile kullandı, ancak aslında tehlikeli yürütülebilir dosyalardı.
Maniant’ın Starkveil olarak izlediği bu saldırılarda kullanılan kötü amaçlı yazılım, pasla yazılmış karmaşık bir programdır. Kullanıcıları programı yeniden açmaya kandırmak için sahte hata mesajları görüntüleyebilir. Yazılım daha sonra Xworm, Frostrift Backdoors ve Grimpull Downloader gibi diğer tehlikeli araçları bırakır.
Bu araçlar, saldırganların bilgisayarı kontrol etmesine, daha fazla bilgi çalmasına, tuş vuruşlarını kaydetmesine ve güvenlik yazılımını kontrol etmesine olanak tanır. Örneğin Grimpull, suçluların gizli sunucularına bağlanmak için TOR tarayıcısını indirebilir ve çalıştırabilir. Xworm, çalınan bilgileri telgrafla saldırganlara bile gönderir.
Maniant Tehdit Savunma’nın blog yazısına göre, şirket bu kampanyayla mücadele etmek için Meta ve LinkedIn ile işbirliği yapıyor. Meta bu reklamların çoğunu kaldırmış olsa da, yenileri günlük olarak ortaya çıkıyor. Bu devam eden tehdit, kullanıcıları korumak için teknoloji endüstrisinde sürekli işbirliği gerektirir.
Mantiant tehdidi savunmasının üst düzey yöneticisi Yash Gupta, “meşru AI araçları olarak maskelenen iyi hazırlanmış web siteleri herkes için bir tehdit oluşturabilir… kullanıcılar görünüşte zararsız reklamlarla etkileşime girerken dikkatli olmalıdır.”
AI araçlarının popüler hale geldiği ve siber suçluların bu ilgiyi kullanmaya devam edeceği bir gerçektir. Kullanıcıların yeni AI araçları denerken dikkatli olmaları ve etkileşime girmeden önce web sitesinin adresini doğruladıkları tavsiye edilir.