‘Malderminal’ olarak bilinen AI ile çalışan kötü amaçlı yazılım, fidye yazılımı ve ters kabuklar da dahil olmak üzere kötü amaçlı kodlar dahil olmak üzere, tehditlerin nasıl geliştirildiği ve dağıtıldığı konusunda önemli bir değişime işaret ederek dinamik olarak kötü amaçlı kod oluşturmak için Openai’nin GPT-4 modelini kullanır.
Bu keşif, büyük dil modellerini (LLM’ler) silahlandıran rakiplere yönelik açık bir eğilim gösteren AI ile çalışan başka bir kötü amaçlı yazılım olan son zamanlarda yapılan analizi takip ediyor.
Bu keşif, Labscon 2025 Güvenlik Konferansı’nda Sentinellabs tarafından sunulan “LLM özellikli kötü amaçlı yazılım” araştırmasının bir parçasıydı.
Bulgular, rakiplerin LLM’leri doğrudan kötü amaçlı yüklerine nasıl entegre etmeye başladığını ve geleneksel güvenlik algılama yöntemleri için zorluklar yarattığını vurgulamaktadır.
Hızlı kilit: akademik bir kavram kanıtı
Ağustos 2025’te güvenlik firması ESET, başlangıçta ilk bilinen AI ile çalışan fidye yazılımı ilan edilen Promplock’u keşfetti. Daha sonra New York Üniversitesi’ndeki araştırmacılar tarafından bu tür tehditlerin potansiyel tehlikelerini göstermek için oluşturulan bir kavram kanıtı olduğu ortaya çıktı.
Bulut tabanlı bir API’ya dayanan Maltermerminal’in aksine, Promplock Golang’da yazılır ve kurbanın makinesinde yerel olarak bir LLM çalıştırmak için Ollama API’sını kullanır.
Önceden tanımlanmış istemlere dayanarak, hızlı kilit, gerçek zamanlı olarak kötü niyetli LUA komut dosyaları üreterek Windows, Linux ve macOS arasında uyumlu hale getirir.
Kötü amaçlı yazılım, kişisel bir bilgisayar, sunucu veya endüstriyel denetleyici gibi enfekte olmuş sistem türünü tanımlamak ve daha sonra benekli 128 bit şifreleme algoritmasını kullanarak verileri ekspiltrat edip etmeyeceğine veya şifrelemeye karar vermek için tasarlanmıştır.
Malterminal ortaya çıkmış
HeadLock bir araştırma projesi iken, Sentinellabs araştırmacıları Wild’da LLM özellikli kötü amaçlı yazılım buldular. Bilinen kötü amaçlı kodu aramak yerine, LLM entegrasyonuna özgü eserlere odaklandılar.
Ekip, sert kodlanmış API anahtarlarını ve ikili dosyalara gömülü ortak hızlı yapıları taramak için Yara kuralları yazdı. Bu API Anahtar Av Metodolojisi, Şüpheli Python komut dosyaları ve derlenmiş bir Windows yürütülebilir kümesini başarıyla tanımladı. MalTerminal.exe.
Analiz, kötü amaçlı yazılımların, Kasım 2023’ten önce oluşturulduğunu ve onu türünün bilinen en eski örneği haline getirdiğini gösteren kullanımdan kaldırılmış bir Openai API uç noktası kullandığını ortaya koydu.
Malterminal bir kötü amaçlı yazılım jeneratörü olarak işlev görür. Yürütme üzerine araç operatörünü ‘fidye yazılımı’ veya ‘ters kabuk’ oluşturmak arasında seçim yapmaya iter. Daha sonra çalışma zamanında karşılık gelen kötü amaçlı python kodunu oluşturmak için GPT-4 API’sına bir istek gönderir.
Bu yaklaşım, kötü niyetli mantığın asla ilk ikili içinde saklanmadığı ve statik analiz ve imza tabanlı algılama araçlarını atlamasına izin verdiği anlamına gelir.
Araştırma, erken sürümler de dahil olmak üzere ilgili senaryoları da ortaya çıkardı (TestMal2.py) ve hatta aynı yazar tarafından oluşturulan deneysel bir kötü amaçlı yazılım tarayıcısı gibi görünen ‘FalconShield’ adlı bir savunma aracı bile.
Kötü amaçlı yazılımların Malterminal ve Hızlı Kilitle ortaya çıkması, siber güvenlik savunucuları için yeni bir zorluk anlamına geliyor. Her yürütme için benzersiz kötü amaçlı kod oluşturma yeteneği, tespit ve analizi önemli ölçüde daha zor hale getirir.
Bununla birlikte, bu yeni kötü amaçlı yazılım sınıfı da doğal zayıflıklara sahiptir. Harici API’lere, yerel modellere ve sabit kodlu istemlere bağımlılığı, savunucular için yeni bir saldırı yüzeyi oluşturur.
Bir API tuşu iptal edilirse veya bir model engellenirse, kötü amaçlı yazılım çalışmaz hale getirilir. LLM özellikli kötü amaçlı yazılım hala deneysel olarak kabul edilirken, bu örnekler, tehdit aktörlerinin aktif olarak yenilik yaptıklarına dair kritik bir uyarı olarak işlev görür ve savunucuları kötü amaçlı API kullanımını ve anormal hızlı aktiviteyi tespit etmeye odaklanmaya zorlamaktadır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.