Openai Chatgpt ve Invideo AI gibi popüler yapay zeka (AI) araçları için sahte montajcılar, Cyberlock ve Lucky_gh0 $ T Ransomware aileleri ve Numero olarak adlandırılan yeni bir kötü amaçlı yazılım gibi çeşitli tehditleri yaymak için yem olarak kullanılıyor.
Cisco Talos araştırmacısı Chetan Raghuprasad bugün yayınlanan bir raporda, “PowerShell kullanılarak geliştirilen siber kilidi fidye yazılımı, öncelikle kurbanın sistemindeki belirli dosyaları şifrelemeye odaklanıyor.” Dedi. “Lucky_gh0 $ T Ransomware, Chaos Fidye Yazılım Serisinin altıncı yinelemesi olan Yashma Fidye Yazılımının bir başka varyantıdır ve fidye yazılımı ikili için sadece küçük değişiklikler sunar.”
Öte yandan Numero, Windows işletim sisteminin grafik kullanıcı arayüzünü (GUI) bileşenlerini manipüle ederek mağdurları etkileyen yıkıcı bir kötü amaçlı yazılımdır, böylece makineleri kullanılamaz hale getirir.
Siber güvenlik şirketi, AI araçlarının meşru sürümlerinin işletmeler arası (B2B) satış alanında ve pazarlama sektöründe popüler olduğunu, bu endüstrilerdeki bireylerin ve kuruluşların kampanyanın arkasındaki tehdit aktörlerinin temel odak noktası olduğunu gösteriyor.
Böyle sahte bir AI çözüm web sitesi “NovaLeadsai[.]Com, “muhtemelen NovaLeads adlı bir kurşun para kazanma platformunu taklit ediyor. Web sitesinin, çevrimiçi arama motorlarındaki sıralamalarını yapay olarak artırmak için Arama Motoru Optimizasyonu (SEO) zehirleme teknikleri aracılığıyla tanıtıldığından şüpheleniliyor.
Daha sonra kullanıcılar, aylık 95 $ abonelik ile ilk yıl için araca ücretsiz erişim sunduğunu iddia ederek ürünü indirmeleri istenir. Aslında indirilen şey, 2 Şubat 2025’te derlenen bir .NET yürütülebilir dosyası (“novaleadsai.exe”) içeren bir zip arşividir. İkili, PowerShell tabanlı siber kilit fidye yazılımlarını dağıtmak için bir yükleyici görevi görür.
Fidye yazılımı, ayrıcalıkları artıracak ve zaten olmasa bile, yönetimsel izinlerle yeniden yürütmek için donanımlıdır ve belirli bir uzatma kümesine uyan “C: \,” “D: \,” ve “E: \” bölümlerinde bulunan dosyaları şifreler. Daha sonra, Monero’da 50.000 dolarlık bir ödemenin üç gün içinde iki cüzdana yapılmasını talep eden bir fidye notu bırakır.
İlginç bir bükülmede, tehdit oyuncusu fidye, ödemelerin Filistin, Ukrayna, Afrika, Asya ve “adaletsizliklerin günlük gerçeklik olduğu” kadınları desteklemek için tahsis edileceğini iddia ediyor.
 |
| Siber Kilidi Fidye Yazılımı tarafından Hedeflenen Dosya Uzantıları |
“Sizden, bu miktarın kaybedilen masum yaşamlara, özellikle de nihai fiyatı ödeyen çocuklara kıyasla küçük olduğunu düşünmenizi istiyoruz.” “Ne yazık ki, birçoğunun gönüllü olarak yardım etmek için harekete geçmeye istekli olmadığı sonucuna vardık, bu da bunu tek olası çözüm yapıyor.”
Son adım, silinen dosyaların adli kurtarılmasını engellemek için tüm hacimde mevcut kullanılmayan disk alanını kaldırmak için “/w” seçeneğiyle karaya oturma ikili (lolbin) “cipher.exe” kullanan tehdit oyuncusunu içerir.
Talos, ChatGPT’nin premium bir sürümü için sahte bir yükleyici kisvesi altında Lucky_gh0 $ T Ransomware’i dağıtan bir tehdit oyuncusu da gözlemlediğini söyledi.
Raghuprasad, “Kötü niyetli SFX yükleyicisi, meşru Microsoft yürütülebilir ‘dwm.exe’yi taklit eden’ dwn.exe ‘dosya adıyla Lucky_gh0 $ T Ransomware yürütülebilir bir klasör içeriyordu. “Klasör ayrıca, özellikle Azure ekosisteminde AI ile çalışan geliştiriciler ve veri bilimcileri için GitHub depolarında bulunan meşru Microsoft açık kaynaklı AI araçları da içeriyordu.”
Mağdur kötü amaçlı SFX yükleyici dosyasını çalıştırırsa, SFX komut dosyası fidye yazılımı yükünü yürütür. Bir Yashma Ransomware varyantı olan Lucky_gh0 $ T, şifreleme için kabaca 1.2GB’lık boyutta olan ancak ses gölge kopyalarını ve yedeklemelerini silmeden önce değil, dosyaları hedefler.
Saldırının sonunda bırakılan fidye notu benzersiz bir kişisel şifre çözme kimliği içerir ve kurbanlara fidye ödemesi için oturum mesajlaşma uygulaması ve bir şifreleme almaları için onlara ulaşma talimatı verir.
Son olarak, tehdit aktörleri, AI ile çalışan bir video oluşturma platformu olan Invideo AI için bir sahte yükleyici ile Numero kodlu bir kod yazılımını dağıtmak için çevrimiçi manzarayı tohumlamak için AI araçlarının artan kullanımından para kazanıyor.
Hileli yükleyici, üç bileşen içeren bir damlalık görevi görür: bir Windows toplu iş dosyası, Visual Basic betiği ve Numero Yürütülebilir. Yükleyici başlatıldığında, toplu iş dosyası Windows kabuğundan sonsuz bir döngüde çalıştırılır, bu da Numero’yu yürütür ve daha sonra CScript aracılığıyla VB komut dosyasını çalıştırarak 60 saniye boyunca geçici olarak durur.
Talos, “Yürütmeye devam ettikten sonra, toplu dosya Numero kötü amaçlı yazılım sürecini sonlandırır ve yürütülmesini yeniden başlatır.” Dedi. “Toplu iş dosyasında sonsuz döngüyü uygulayarak, Numero kötü amaçlı yazılımlar sürekli olarak kurban makinesinde çalıştırılır.”
C ++ ‘da yazılmış 32 bit Windows yürütülebilir Üyeler, Numero, çalıştırma işlemleri arasında kötü amaçlı yazılım analiz araçlarının ve hata ayıklarının varlığını kontrol eder ve masaüstü penceresinin başlıkının, düğmelerin ve içeriğin üzerine yazmaya devam eder. “1234567890”. 24 Ocak 2025’te derlendi.
Açıklama, Google’ın sahip olduğu Mantiant’ın, Facebook’ta kötü niyetli reklamlar kullanan bir kötü niyetli kampanyanın ayrıntılarını açıkladığı ve LinkedIn’i, kullanıcıları Luma AI, Canva Dream Lab ve Kling AI gibi meşru AI video jeneratör araçlarını taklit eden sahte web sitelerine yönlendirmek için açıkladı.
Bu ayın başlarında Morphisec ve Check Point tarafından da maruz kalan etkinlik, teknoloji devinin bir Vietnam Nexus’a sahip olduğu değerlendirilen UNC6032 olarak bir tehdit kümesine atfedildi. Kampanya en azından 2024’ten beri aktif.
Saldırı şu şekilde ortaya çıkıyor: Bu web sitelerine giren şüphesiz kullanıcılara bir video oluşturmak için bir girdi istemi sağlamaları talimatı verilir. Bununla birlikte, daha önce gözlemlendiği gibi, web sitesinin ana sorumluluğu Starkveil adlı pas bazlı bir damlalık yükünün indirilmesini başlatmak olduğundan, giriş önemli değildir.
“[STARKVEIL] Öncelikle bilgi hırsızlığı için tasarlanmış ve işlevselliklerini genişletmek için eklentileri indirebilen üç farklı modüler kötü amaçlı yazılım ailesini düşürüyor, “dedi Mandiant.” Çoklu, benzer yüklerin varlığı, bazı yükler güvenlik savunmaları tarafından algılansa veya engellenirse bile saldırının devam etmesine izin veren arıza güvenli bir mekanizma öneriyor. “
Üç kötü amaçlı yazılım ailesi aşağıdadır –
- Grimpull, ek .NET montajları olarak belleğe çözülmüş, dekomprese edilmiş ve belleğe yüklenmiş ek.
- Frostrift, sistem bilgilerini toplayan bir .NET arka kapısı, yüklü uygulamalar hakkında ayrıntılar ve şifre yöneticileri, kimlik doğrulayıcılar ve kromyum tabanlı web tarayıcılarındaki kripto para birimi cüzdanları ile ilgili 48 uzantıyı taramalar için tarama
- Keylogging, komut yürütme, ekran yakalama, bilgi toplama ve telgrafla kurban bildirimi gibi özelliklere sahip bilinen bir .NET tabanlı uzaktan erişim Trojan (sıçan) olan Xworm
Starkveil ayrıca, yukarıda belirtilen üç yükü DLL yan yükleme yoluyla çalıştırmakla görevlendirilen Python tabanlı bir damlalık kodlayıcısı coilhatch başlatmak için bir kanal görevi görür.
Mantiant, “Bu AI araçları artık sadece grafik tasarımcıları hedeflemiyor; görünüşte zararsız bir reklamla herkes çekilebilir.” Dedi. Diyerek şöyle devam etti: “En son AI aracını deneme cazibesi, herkesin kurban olmasına yol açabilir.”