Tehdit aktörleri, otomasyon yoluyla saldırılarını daha etkili hale getirmek, güvenlik açıklarını tespit etmek için büyük veri kümelerini taramak ve tespit edilmesi daha zor olan karmaşık kimlik avı dolandırıcılıkları oluşturmak için yapay zekayı kullanırlar.
Ayrıca tehdit aktörleri, yasal görünümlü sahte içerik üretmek ve güvenlik önlemlerinden kaçınmak için yapay zekayı kullanabilirler.
Cyble’daki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin kötü amaçlı yazılımları dağıtmak için ChatGPT’nin Sora AI’sını aktif olarak kullandığını tespit etti.
ChatGPT’nin Sora AI Heyecanını Kullanma
Şubat 2024’te metinden videoya dönüştürme amaçlı bir yapay zeka modeli olan OpenAI’nin Sora’sı, teknoloji camiasında büyük heyecan yarattı.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Henüz piyasaya sürülmedi ancak siber saldırganlar, içerik oluşturmada oyunun kurallarını değiştirecek bir potansiyele sahip olduğunu düşünüyor.
Cyble Research and Intelligence Labs (CRIL), Sora’nın resmi platformlarıymış gibi davranan birkaç kimlik avı sitesi tespit etti. Bu siteler, kullanıcıları aldatmayı ve ardından çeşitli kötü amaçlı yazılım türlerini dağıtmayı amaçlıyor.
Aşağıda, kimlik avı sitelerinden bahsettik:
- hxxps://sorics-ai[.]internet uygulaması
- hxxps://sora-6b494[.]internet uygulaması
- hxxps://sorics-ai.web[.]uygulama
- hxxps://soraai-pro-kit[.]internet uygulaması
- hxxps://sora-openai-nesli[.]com
- hxxps://openai-soravideo[.]com
- hxxps://opensora-ai.web[.]uygulama
- hxxps://opensora[.]bilgi
Temmuz 2024’ün sonuna doğru tehdit aktörleri, henüz piyasaya sürülmemiş olan OpenAI Sora AI’dan yararlanarak ustaca kimlik avı saldırıları başlattı.
Eylemleri, “openai-soravideo” gibi sahte web siteleri kurmayı içeriyordu[. ]com” ve “sora-openai-generation[. ]com” adlı şirketin tanıtımını, ele geçirilen sosyal medya hesapları üzerinden yaptılar.
Bu siteler kullanıcıları Sora yazılımı gibi görünen kötü amaçlı yazılımları indirmeye kandırıyordu.
Bunlardan en dikkat çekeni ise Chrome, Firefox, Edge, Opera, Brave ve Chromium tarayıcılarını hedef alarak hassas bilgileri toplayan ve ardından API istekleri aracılığıyla Telegram kanalları üzerinden gönderen Braodo Stealer’dı.
Kötü amaçlı yazılım, kötü amaçlı aktiviteyi gizlemek için çok seviyeli sıkıştırma (zlib, bz2, gzip, lzma) ve onaltılık kodlama gibi çeşitli yöntemler kullanıyordu; bu da birçok antivirüs sistemi tarafından tespit edilmesini zorlaştırıyordu.
Siber Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmaBu kampanyalara, çoğunlukla sponsorlu reklamlar aracılığıyla çok sayıda kişinin çekildiği ve bunun sonucunda önemli veri ihlallerinin yaşandığı belirtildi.
Sora temalı karmaşık kötü amaçlı yazılım kampanyası, çok yönlü bilgi çalma teknikleri kullanıyor.
Bir varyantı Edge, Chrome, CocCoc, Brave, Opera ve Firefox gibi tarayıcılardan ekran görüntüleri, oturum açma bilgileri, çerezler ve otomatik doldurma bilgilerini çalıyor.
Çalınan verileri “.zip” adlı bir dosyaya sıkıştırarak API aracılığıyla saldırganın Telegram sohbetine gönderiyor.
Başka bir tür ise “https://sealingshop.click/bat/loc” adresinden “manifest.bat” dosyasını indirip çalıştıran Python betiğini gizleyen PyInstaller ve PyArmor gizlemesini kullanır.
Kullanıcı adları, IP adresleri ve tarayıcı verileri gibi hassas bilgileri toplar ve belirli ülkelerdeki kullanıcıları hariç tutar.
Daha sonra POST isteği yoluyla JSON kodlu verileri bir ngrok etki alanına (hxxps://f34f-103-14-48-195.ngrok-free.app) gönderir.
Daha sonra, kampanyanın veri hırsızlığı ve kripto para madenciliği üzerine odaklandığını kanıtlayarak, virüslü ana bilgisayara iki açık kaynaklı kripto para madenciliği yazılımı olan XMRig ve lolMiner’ı yüklüyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Kullanıcıları kimlik avı ve doğrulanmamış indirmeler konusunda eğitin.
- Uygulamaları yüklemeden önce URL’leri ve meşruiyetini doğrulayın.
- Gelişmiş tehdit tespit sistemlerini uygulayın.
- Sosyal medyada ele geçirilmiş hesapları izleyin.
- Tüm hesaplar ve sistemler için MFA’yı zorunlu kılın.
- Verilerinizi düzenli olarak yedekleyin ve güvenli bir şekilde saklayın.
- Kötü amaçlı siteleri engellemek için web filtrelemeyi kullanın.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access