Tehdit aktörleri, aldatıcı web siteleri aracılığıyla kötü amaçlı yazılım dağıtmak için ChatGPT ve Luma AI gibi AI araçlarının yükselen popülaritesini kullanıyor.
Zscaler tehdit araştırmacıları, genellikle WordPress gibi platformlarda barındırılan ve arama motoru sıralamalarını zehirlemek için siyah şapka SEO tekniklerini kullanan bir kötü amaçlı AI temalı siteler ağını ortaya çıkardılar.
Bu siteler, “Luma AI blogu” gibi trend AI anahtar kelimelerinin, şüphesiz kullanıcıları ziyaret etmeye kandırması gibi arama sonuçlarında belirgin bir şekilde görünür.
.png
)
AI temalı web siteleri
Bir kullanıcı böyle bir sayfaya indiğinde, karmaşık bir kötü amaçlı etkinlik zinciri tetiklenir ve sonuçta Vidar Stealer, Lumma Stealer ve Lejyon Loader gibi tehlikeli yükler sunar.
Saldırı, bir kullanıcının meşru bir arama sonucuna tıklamasıyla başlar ve AWS Cloudfront gibi güvenilir platformlarda barındırılan kötü amaçlı JavaScript ile gömülü bir AI temalı web sayfasına yol açar.
Bu komut dosyası tarayıcı parmak izi, tarayıcı sürümü, pencere çözünürlüğü ve kullanıcı aracısı gibi verileri toplama, daha sonra XOR kullanılarak şifrelenir ve GetTrunkHomuto gibi saldırgan kontrollü bir alana gönderilir[.]bilgi.
Sunucu verileri doğrular ve genellikle son kötü amaçlı yazılım indirme sayfasına yönlendirmeden önce kurbanın genel IP’sini kontrol eden ara siteleri içeren çok katmanlı bir yeniden yönlendirme işlemi başlatır.
Saldırı zincirinin teknik dökümü
Özellikle, JavaScript ayrıca reklam engelleyicileri ve DNS korumalarını algılar, bu tür korumalar varsa yeniden yönlendirmeyi durdurur ve saldırının tespit edilmemesini sağlar.
Kötü amaçlı yazılım yükleri genellikle Sandbox algılamasını atlamak için VIDAR ve Lumma Stealer için 800MB NSIS yükleyicileri gibi büyük yükleyici dosyalarında paketlenir.
Legion Loader ise, tuzak yazılımı dağıtan ve proses oyma ve DLL kenar yükleme gibi teknikler aracılığıyla kötü amaçlı DLL’ler yürüten MSI dosyaları içeren şifre korumalı zip arşivleri aracılığıyla teslim edilir.
Bu yükler, hassas verileri çalabilir veya kripto para birimleri durduran tarayıcı uzantıları yükleyerek kullanıcılar için önemli riskler oluşturabilir.
Kampanyanın karmaşıklığı, NSIS komut dosyaları içindeki antivirüs kontrolleri de dahil olmak üzere, TaskList ve FindStr gibi Windows yardımcı programlarını Quick Heal, Webroot ve Bitdefender gibi satıcılardan feshetmek için kaçış taktiklerine kadar uzanıyor.
Ayrıca, Legion Loader’ın C2 sunucularından alınan dinamik şifreleri kullanması ve Hollowed Explorer.exe işlemleri içinde kabuk kodu yürütülmesi, saldırganların gizliliğe odaklanmasını vurgular.
Zscaler’ın çok katmanlı bulut güvenlik platformu, Win32.pws.lumma ve win32.dropper.legionloader gibi çeşitli tehdit adları altında Lumma, ViDAR ve Lejyon Yükleyici göstergelerini tespit ederek bu tehditleri tespit etti ve azalttı.
Kötü amaçlı yazılım dağıtımına yönelik trend konularının kullanımı büyümeye devam ettikçe, kullanıcılar çevrimiçi AI araçlarını ararken dikkatli olmaları istenir.
Aşağıda, referans ve hafifletme amaçları için bu kampanyayla ilişkili temel uzlaşma göstergeleri (IOCS) tablosu bulunmaktadır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tanım |
|---|---|
| chat-gpt-5[.]AI | AI ile ilgili kötü niyetli blog sitesi |
| ileri -s[.]com | AI ile ilgili kötü niyetli blog sitesi |
| Krea AI[.]com | AI ile ilgili kötü niyetli blog sitesi |
| Lama-2[.]com | AI ile ilgili kötü niyetli blog sitesi |
| C957ADB29755E586E022244369C375D | Lejyon Yükleyici Parola Korumalı Zip |
| 14642e8ffd81298f649e28dc046d84bb | Lejyon Yükleyici MSI dosyası |
| C53AAF734ECC1D81C241EAA2AB030A87E | Lumma nsis yükleyici dosyası |
| 758625D112C04C094F9AFC40EAFA894 | Vidar nsis yükleme dosyası |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin