Tehdit aktörleri, Zscaler’ın Tehditlabz tarafından ortaya çıkarılan genişleyen bir Black Hat SEO kampanyasında, kötü amaçlı yazılım sunmak için ChatGPT ve Luma AI gibi popüler AI platformlarının Google arama sonuçlarını kaçırıyor.
Saldırı kampanyası eşit ve sinsidir: Saldırganlar, arama motoru sıralaması için optimize edilmiş AI temalı web sitelerini döndürür, daha sonra şüphesiz ziyaretçileri parmak izi komut dosyaları, gizlenmiş indirme sayfaları ve bugünün en aktif infostaler’larından bazılarını içeren yükleri-vidar, lumma ve lejyon yükleyicisine yönlendirir.
Strateji? İlginç kullanıcıların sistemlerine kötü yazılımları sessizce bırakmak için AI arama trafiğinin hype dalgasına binin.
Google Aramadan Kötü Yazılımlara Üç Tıklamada
Kampanya, bir kullanıcı “Luma AI Blogu” veya “ChatGPT 5’i İndir” gibi terimleri aradığında ve iyi rütbeli ama sahte bir AI web sitesine girdiğinde başlar. Bu kötü niyetli siteler WordPress kullanılarak oluşturulmuştur ve oyun arama algoritmalarına seo-optimize edilmiştir-Classic Black Hat SEO çalışmada.
Yüklendikten sonra, sayfa tarayıcıyı parmak izi alan, kullanıcı aracısı, çözünürlük, çerez ve tıklama davranışı gibi ayrıntıları toplayan ve daha sonra bu verileri (XOR üzerinden şifrelenmiş) uzak bir sunucuya gönderen JavaScript’i dağıtır. gettrunkhomuto[.]info.
Oradan, sunucu ziyaretçinin verilerini analiz eder ve hangi nihai hedefe gönderilmesi gerektiğini belirler. Kötü amaçlı yazılım veya daha az tehdit eden PUA veya ADware sitesi ile dolu bir Zip Arşivi olabilir.
Zscaler’a göre, bu yeniden yönlendirme merkezi –gettrunkhomuto[.]info— Ocak 2025’ten bu yana 4.4 milyondan fazla isabet aldı.
Silahlı SEO + AWS + sinyal = müstehcenlik
Bu kampanyayı özellikle kaçındıran şey, meşru altyapı kullanmasıdır. Yeniden yönlendirme mantığı AWS CloudFront’ta barındırılır ve güvenlik tarayıcılarında kırmızı bayrakları yükseltebilecek şeylere güvenilirlik kazandırır. Tarayıcı parmak izi, adblocker anti-komut dosyaları ve IP coğrafi konumuna dayanan koşullu yönlendirme mantığı gibi gelişmiş teknikler ekleyin ve sofistike bir trafik aklama işleminiz var.
Ublock veya DNS filtreleme araçları gibi reklam engelleyiciler algılanırsa, bu aldatıcı komut dosyaları bile geri çekilir. Değilse? Kullanıcılar, yazılım yükleyicileri olarak gizlenmiş şifre korumalı kötü amaçlı yazılım yükleyicilerine yönlendirilir.
Yükler: Vidar, Lumma ve Lejyon yükleyici
Kullanıcı yeniden yönlendirildikten ve son indirme sayfasıyla etkileşime girdikten sonra, büyük boyutlu (800MB+) yükleyici paketlerinin içine sıkışmış kötü amaçlı yazılımlar. Şişirilmiş boyut kasıtlıdır – belirli boyut eşiklerini geçerek dosya analizini atlayan sanal alan ortamlarından ve AV motorlarından kaçmaya yardımcı olur.
Vidar ve Lumma çalıyorher iki tanınmış infostaler, sahte .docm dosyaları, otomatik komut dosyaları ve gizlenmiş yükleyicilerin bir karışımını içeren NSIS yükleyicilerine gelir. Bir kez yürütüldükten sonra, bu yükleyiciler Avast, ESET, Sophos veya Webroot gibi antivirüs işlemlerini tarar ve basit Windows araçlarını kullanarak onları öldürür (tasklist Ve findstr) son yükü yüklemeden önce.
Saldırı zinciri tarayıcı kimlik hırsızlığı, pano kaçırma ve kripto para cüzdanı kazıma – Lumma ve Vidar için standart ücret, ancak şimdi çok daha sofistike bir teslimat mekanizmasıyla bitiyor.
Ayrıca okuyun: Güvenlik tehdidi: Lumma Infostealer, Google çerezlerine durdurulamaz erişimin kilidini açar
O zaman var Lejyon yükleyiciçok zip bir formatta gelen (evet, gerçekten). Son MSI yükleyicisi, “Frankwo Utilities” veya “Kraew Loop Sols” gibi isimlere sahip bir yardımcı paket olarak maskelenir. Arka planda, kötü amaçlı yazılım, dlls’i yan yükleme yoluyla yürütür, gibi meşru süreçleri oyarın explorer.exeve kriptodan sifon yapabilen kötü niyetli tarayıcı uzantılarının düşürülmesi.
Adlı bir bileşen bile içerir DataUploader.dll Sistem bilgileri ile C2 sunucusuna ev sahipliği yapan telefon ve şifreli RAR yükleri için şifreler talep ediyor – tekrar, sabit kodlu göstergelerden kaçınarak algılamadan kaçınmak için tasarlanmıştır.
SEO, AI ve kötü amaçlı yazılım dağıtımının geleceği
Bu kampanyanın yeniliği kötü amaçlı yazılım değil – Vidar, Lumma ve Legion Loader yıllardır var. Yeni olan teslimat: Tehdit aktörleri, AI’nın popülerlikteki meteorik yükselişine sert bir şekilde eğiliyor, üretken modeller hakkındaki merakını kötü amaçlı bir yazılım vektörüne dönüştürüyor.
Yapay zeka ile ilgili anahtar kelimeler artık bir ölçek saldırganlarında arama trafiğini sürdüremiyor, Deepen Desai’ye göre, Zscaler’daki CISO. Popüler sorgular için sıralı sahte siteler alabilirlerse, bu, kötü amaçlı yazılımları ölçeklendirme için garantili bir hunidir.
Ve haklılar. Bu, Black Hat Seo, CloudFront gibi meşru altyapı ve güvenilir formatlara sarılmış gizlenmiş yükler kullanarak en stratejik. AI araçlarının hızlı bir şekilde benimsenmesi ve resmi olmayan indirmeler etrafında genel inceleme eksikliği ile bu vektörün önümüzdeki aylarda patlaması muhtemeldir.
Peki ne yapabilirsin?
“Chatgpt masaüstünü indir” veya “Luma AI Tools” u rasgele Google yapıyorsanız, bu bağlantıların nereye götürdüğüne dikkat edin. Her zaman olduğu gibi, üçüncü taraf sitelerden araçları indirmekten kaçının, URL’leri dikkatlice kontrol edin ve parolalarla gölgeli zip arşivlerini izleyin.
Ve savunucular için: Olağandışı trafiği işaretlemeye başlayın gettrunkhomuto[.]infoAI temalı alan kümelerine ilişkin DNS sorgularını izleyin ve tarayıcı parmak izi sezgisel yöntemlerini sanal alan değerlendirmesine entegre etmeyi düşünün.
Yapay zeka çağında, kötü amaçlı yazılımların daha akıllı olması gerekmez. Sadece beklediğinizden daha üst sıralarda yer alması gerekiyor.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.