Cisco Talos, meşru AI araç montajcıları olarak maskelenen ve birçok endüstride şüphesiz kullanıcıları ve işletmeleri hedefleyen bir dizi kötü niyetli tehdidi ortaya çıkardı.
Cyberlock ve Lucky_gh0 $ T ransomware aileleri de dahil olmak üzere bu tehditler, “Numero” olarak adlandırılan yeni tanımlanmış yıkıcı kötü amaçlı yazılımlar, B2B satışları, teknoloji ve pazarlama gibi sektörlerde AI çözümlerinin artan popülaritesini kullanıyor.
AI çözümleri olarak gizlenmiş aldatıcı kötü amaçlı yazılım
Siber suçlular, arama motoru sonuçlarını manipüle etmek için SEO zehirlenmesi gibi sofistike taktiklerden yararlanıyor, sahte web sitelerinin ve kötü amaçlı indirme bağlantılarının arama sonuçlarının en üstünde görünmesini sağlıyor.
.png
)
Buna ek olarak, Telegram ve diğer sosyal medya habercileri gibi platformlar, bu hileli yükleyicileri dağıtmak için kullanılmakta, kullanıcıları hassas verileri tehlikeye atan ve orijinal AI araçlarına güveni zayıflatan kötü amaçlı yazılım yüklü dosyaları indirmeye almıştır.
PowerShell kullanılarak oluşturulan ve bir .NET yükleyici aracılığıyla teslim edilen siber kilidi fidye yazılımı, meşru platform novaLeads’i taklit eden sahte bir AI kurşun para kazanma aracına gömülüdür.
Aldatıcı bir alanda barındırıldı, novaLeadsai[.]Com, kötü amaçlı yazılım, kötü amaçlı bir yürütülebilir dosyası olan novaLeadsai.exe içeren bir ZIP arşivi aracılığıyla dağıtılır.
Yürütme üzerine, siber kilit dosyaları AES şifrelemesini kullanarak belirtilen sürücüler arasında şifreler, “.cyberlock” uzantısını metin belgeleri, medya ve veritabanları gibi kategorilere yayan etkilenen dosyalara ekler.
Bir tehdit üçlüsü
Fidye notu, Monero kripto para biriminde şaşırtıcı bir şekilde 50.000 dolar talep ediyor, fonların Filistin ve Ukrayna gibi bölgelerde insani nedenleri destekleyeceğini iddia ederken, verilere maruz kalma tehditleri olan kurbanları baskılamak için psikolojik taktikler istihdam ediyor, ancak veri açığa çıkma yetenekleri bulunmadı.
Şifrelemenin ötesinde, siber kilidi, adli kurtarma çabalarını engelleyerek ücretsiz disk alanının üzerine yazmak için Windows Dahili Tool Cipher.exe’yi kullanır.
Eşit derecede sinsi, Lucky_gh0 $ T Ransomware, Chaos Ransomware serisinden Yashma suşunun bir çeşidi olan “Chatgpt 4.0 Full Version – Premium.exe.
Kendi kendine ekleyen bir zip arşivi olarak dağıtılan bu, tespitten kaçınmak için gerçek AI araçlarının yanı sıra meşru bir Microsoft dosyası olarak gizlenmiş kötü niyetli bir yürütülebilir dosyayı içerir.
Lucky_gh0 $ T, RSA-şifreli AES tuşlarıyla 1.2GB daha küçük dosyaları şifreler.
Mağdurlar, fidye müzakereleri için benzersiz bir oturum kimliğine sahip güvenli bir haberci aracılığıyla iletişim kurmaya yöneliktir.
Bu arada, AI video oluşturma aracı Invideo AI’yi taklit eden Numero kötü amaçlı yazılım, pencere manipülatörü olarak çalışır.
C ++ ‘da yazılmış ve Ocak 2025’te derlenen rapora göre, Numero sonsuz bir döngüde çalışır, Windows GUI’sini sayısal dizelerle üzerine yazarak bozulur ve sistemleri kullanılamaz hale getirir. Ayrıca IDA ve Windbg gibi hata ayıklama araçlarını tespit ederek analizden kaçınır.
Bu tehditler kritik işletme varlıklarını hedeflemek için AI patlamasından yararlandığından, kuruluşlar uyanık kalmalıdır.
Cisco Talos, kullanıcıları AI araç kaynaklarının gerçekliğini doğrulamaya ve yalnızca saygın satıcılara güvenmeye çağırıyor.
AI’nın dönüştürücü potansiyelinin ve siber suçluların aldatıcı taktiklerinin yakınsaması, bu tür silahlı montajcılara karşı korunmak için güçlü siber güvenlik önlemlerine acil ihtiyacın altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!