Tehdit aktörleri, kötü amaçlı yazılım dağıtmak için en son video üretim modeli olan Openai’nin Sora’sının artan popülaritesinden yararlanıyor.
“Soraai.lnk” adlı meşru bir kısayol dosyası olarak gizlenmiş olan bu bilgi çalan kötü amaçlı yazılım, Sora’nın markasını çok aşamalı bir saldırı zinciri başlatmaya kandırmak için taklit eder.
Aldatıcı taktikler Openai’nin Sora markasını hedef
İlk olarak 21 Mayıs 2025’te Vietnam’dan VIETNATAL’da rapor edilen kötü amaçlı yazılımlar birden fazla ülkeye yayıldı, ancak etkilenen bireylerin kesin sayısı belirsizliğini koruyor.
.png
)
Bu kampanya, iyi bilinen AI araçlarında kullanıcı güvenini kullanmak için sosyal mühendislik taktiklerinin artan kullanımını vurgulamaktadır ve saldırganlar GitHub gibi güvenilir platformlarda kötü niyetli yüklerini şüpheden çıkarmak için barındırıyor.
Saldırı, bir kullanıcı “Soraai.lnk” kısayolunu çift tıkladığında başlar, bu da CMD.EXE ile önceden tanımlanmış bir bağımsız değişkenle bağlantıyı tetikleyerek gizli bir PowerShell işlemi başlatır.
Bu işlem, bir GitHub deposundan kurbanın temp klasörüne kötü amaçlı bir toplu iş dosyası indirir.
Komut dosyası daha sonra ek yükler için ilmekli bir indirme girişimi yürütür ve ilk denemeler başarısız olsa bile kalıcılığı sağlar.
Sonraki aşamalar, istekler, pywin32 ve kriptografi gibi meşru python paketlerinin kurulumunu düzenleyen daha fazla toplu dosya dosyasının, “f.bat” ve “1.bat” ın yürütülmesini içerir, sonuçta kötü niyetli bir python betiği, “python.py” çalıştırır.
Bu komut dosyası, başlangıç klasörüne yerleştirerek kalıcılık oluşturur ve çok çeşitli hassas verileri hedefler.
Çok aşamalı saldırı zinciri
Chrome, Firefox ve Opera gibi uygulamalardan tarayıcı çerezlerini, şifreleri ve profilleri çıkarır, özel bir “chrome_decrypt.dll” kullanarak şifreli verileri şifreleyin.
Ayrıca, Steam ve Epic Games gibi popüler oyun platformlarından sistem bilgilerini, Wi-Fi kimlik bilgilerini, kripto para birimi cüzdanı ayrıntılarını ve yapılandırma verilerini toplar.
Hasat edilen veriler, kurbanın ülkesi ve IP ile adlandırılan bir Zip dosyasına sıkıştırılır ve bir Telegram bot API’si aracılığıyla eksfiltratlanır.
49MB’ı aşan daha büyük dosyalar için, kötü amaçlı yazılım bunları harici barındırma hizmeti GoFile.io’ya yükler ve parçalarını kapsayacak şekilde yerel izleri silerken saldırganları telgraftan bilgilendirir.
Bu karmaşık saldırı zinciri aynı zamanda yaygın uzantılara (.pdf, .jpg, .txt) ve indirmeler ve belgeler gibi kritik dizinlerden gelen verileri, kimlik hırsızlığı veya daha fazla sömürü yoluyla kurbanlara verilen verileri de temizler.
Dijital manzara gelişmeye devam ettikçe, meşru ve kötü niyetli kaynaklar arasında ayrım yapmak çok önemli hale gelir.
Kullanıcılar, dosyaları yalnızca güvenilir kaynaklardan indirerek ve yürütmeden önce dosya özgünlüğünü doğrulayarak dikkatli olmalıdır, çünkü bu kötü amaçlı yazılımlardan gelen hasar genellikle geri döndürülemez.
Siber saldırı metodolojileri hakkında bilgi sahibi kalmak ve K7 Total Güvenlik gibi sağlam antivirüs çözümlerinin dağıtılması riskleri önemli ölçüde azaltabilir.
Rapora göre, örneğin K7 Labs, çeşitli enfeksiyon aşamalarında bu tür bilgi çalanlar için algılama yetenekleri sunmaktadır.
Uzlaşma Göstergeleri (IOCS)
| Dosya adı | Doğramak |
|---|---|
| Soraai.lnk | D4b1f86b0d722935bda2999d37f7a2663 |
| A.Bat | 835AF3166CDFD449D9E9F78FFC57500 |
| f.bat | 596c75805be5ad3b44a0aafa9e94dfc2 |
| 1.bat | Be1327271592742232a14dbfe32cf7 |
| Python.py | 9babde0dd32c1ab24efb2c4d25bd0b10 |
| chrome_decrypt.dll | ED38E7C7E54B87841BDB013203BFF01B |
| Url | hxxp[://githubcom/arimatheh/a/raw/refs/heads/main/fzip[://githubcom/ArimaTheH/a/raw/refs/heads/main/fzip |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.