Bir tehdit aktörü, yapay zeka teknolojisi vaadiyle mağdurları cezbetmek ve nihai amacı ticari hesapları ele geçirmek olan, kullanıcıların kimlik bilgilerini çalan kötü amaçlı bir Chrome tarayıcı uzantısını yaymak için ücretli Facebook reklamlarını kötüye kullanıyor.
Trend Micro’nun kıdemli tehdit araştırmacıları Jindrich Karasek ve Jaromir Horejsi bugün bir blog yazısında, Facebook’un ana şirketi Meta’nın, sosyal medya platformunun ücretli tanıtımından yararlanan etkinliği Trend Micro’nun bildirmesinin ardından sahte sayfaları ve reklamları kaldırdığını açıkladı.
Reklamlarda üretkenliği artırmak, erişimi ve geliri artırmak veya öğretime yardımcı olmak için yapay zekayı kullanmayı vaat eden pazarlama şirketlerinin veya departmanlarının sahte profilleri yer alıyor. Bazıları, kurbanları ısırmak için, şu anda sınırlı sürümde olan, sohbete dayalı yapay zeka sohbet robotu Google Bard’a erişimi bile engelliyor.
Araştırmacılar, “Bu sahte profillerin belirtileri arasında satın alınan veya bot takipçiler, ele geçirilen veya orijinal olmayan profillerin sahte yorumları ve sınırlı çevrimiçi geçmiş yer alıyor” diye yazdı.
Tehdit aktörünün kampanyadaki ana hedefinin, aynı zamanda genellikle bir şirketin sosyal ağ sitelerinin yöneticileri olan ticari sosyal ağ yöneticilerini veya yöneticilerini ve pazarlama uzmanlarını hedef almak ve bulaştırmak gibi göründüğünü belirttiler.
Aslında, bir saldırıda, kurbanın olaya müdahalesine yardımcı olan bir Trend Micro araştırmacısı, tehdit aktörünün kurbanın Meta Business Manager’ına şüpheli kullanıcılar eklediğini gözlemledi. Aktör şu ana kadar mağdurla iletişime geçmeyi denememiş olsa da, mağdurun ön ödemeli tanıtım bütçesi, tehdit aktörünün kendi içeriğini tanıtmak için kullanıldı. Bu, aktörün çalıntı hesapları kötü amaçlarla kullanma niyetini gösteriyor.
Nasıl çalışır
Bir Facebook kullanıcısı yemi yutar ve kampanyanın reklamlarından birine tıklarsa, büyük dil modellerini (LLM’ler) kullanmanın avantajlarını listeleyen ve aynı zamanda gerçek “AI paketini” indirmek için bir bağlantı da içeren basit bir web sitesine yönlendirilir.
Saldırgan, paketi “999” veya “888” gibi basit şifrelerle (genellikle Google Drive veya Dropbox gibi bulut depolama sitelerinde barındırılan) şifrelenmiş bir arşiv olarak dağıtarak antivirüs tespitinden kaçınır.
Paket, doğru şifreyle açılıp şifresi çözüldükten sonra genellikle tek bir MSI yükleyici dosyası içerir; bu dosya, bir Chrome uzantısına ait birkaç dosyayı bırakır. Bu uzantı, Facebook çerezlerini, kullanıcının erişim belirtecini ve tarayıcının kullanıcı aracısının yanı sıra kullanıcının yönetilen sayfalarını, işletme hesabı bilgilerini ve reklam hesabı bilgilerini çalmayı amaçlamaktadır. Ayrıca kullanıcının IP adresine erişmeye çalışır.
Popüler Bir Yem Olarak Yapay Zeka
Kampanya, tehdit aktörleri arasında, insanların yapay zeka teknolojisine olan ilgisini ve bu teknolojinin kötü niyetli dolandırıcılıkların sosyal mühendisliğini yapma konusunda profesyonellere sağlayabileceği faydaları artırma yönünde büyüyen bir trendi destekliyor.
“Erken [AI] Trend Micro araştırmacıları, benimseyenlerin pazarlama, metin yazarlığı ve veri analizi ve işleme gibi yaratıcı endüstriler de dahil olmak üzere güçlü bir rekabet avantajına sahip olacağını yazdı. Ancak bunun aynı zamanda yapay zekaya artan ilgiden yararlanmak isteyen siber suçlular için fırsatlar da açtığını söylediler. .
Nisan ayında keşfedilen benzer bir kampanyada saldırganlar, RedLine Stealer’ı, ele geçirilen Facebook iş ve yapay zeka sohbet uygulamalarının ücretsiz indirilmesini teşvik eden topluluk sayfalarındaki meşru sponsorlu reklamların arkasına sakladılar.
Deep Instinct tarafından bugün yayınlanan bir raporda, güvenlik profesyonellerinin %70’inin üretken yapay zekanın çalışanların üretkenliğini ve işbirliğini olumlu yönde etkilediğini söylediği, %63’ünün ise teknolojinin çalışanların moralini de iyileştirdiğini belirttiği ortaya çıktı.
Uzlaşmadan Kaçınmak
Meta, rahatsız edici sayfaları ve reklamları kaldırmanın yanı sıra, hem iç hem de dış tehdit araştırmalarından elde edilen bilgileri kullanarak benzer sahtekarlık içeren reklamları ve sayfaları bulmak için tespit sistemlerini güçlendirmeye devam edeceğini Trend Micro ile paylaştı.
Trend Micro’ya göre, Web itibar hizmetleriyle birlikte bir antivirüs çözümü dağıtmak, bu tür tehditlere karşı iyi bir önlemdir.
Araştırmacılar, “Kullanıcılar internetten indirdikleri dosyaları her zaman taramalı ve yapay zekadaki yeni gelişmelere ilişkin abartılı reklamı kötüye kullanabilecek tehdit aktörlerine karşı dikkatli olmalıdır” diye yazdı.
İnsanlar aynı zamanda kendilerini bu tür bir kampanyaya karşı uyarabilecek aşağıdaki “kırmızı bayraklara” da dikkat etmelidir: kötü amaçlı dosyanın bağlantısını içeren açılış sitesine yönelik “önemli bir atış” görünümü ve hissi; kullanılabilirliği şu anda sınırlı olmasına rağmen Google Bard’a erişim vaadi; Yapay zeka tabanlı sistemlere resmi erişim pahalı ve/veya sınırlı olduğundan sunulan hizmetin gerçek olamayacak kadar iyi görünmesi; tanıtım gönderilerinin ifadelerinde ve görünümünde herhangi bir tutarsızlık; ve açılış sitesinde sunulan geniş çapta erişilebilir ancak şifre korumalı bir dosya.