Siber suçlular, sofistike kimlik avı kampanyaları ve kötü amaçlı yazılım dağıtım sistemleri geliştirmek için AI destekli bir web sitesi oluşturma platformu olan Lovable’dan yararlanarak kötü niyetli faaliyetler için yeni bir yol keşfettiler.
Web gelişimini doğal dil istemleri yoluyla demokratikleştirmek için tasarlanan platform, yanlışlıkla minimal teknik uzmanlığa sahip ikna edici hileli web siteleri oluşturmak isteyen tehdit aktörleri için bir araç haline geldi.
Sevimli’nin kötüye kullanılması, yapay zeka araçlarının kötü niyetli aktörler için giriş için geleneksel engelleri düşürdüğü siber suç manzarasında önemli bir değişimi temsil ediyor.
Kodlama bilgisini gerektiren geleneksel web geliştirmenin aksine, Lovable, kullanıcıların gereksinimlerini basit metinlerde açıklayarak tamamen işlevsel web siteleri oluşturmalarına olanak tanır.
Bu yetenek, artık profesyonel görünümlü kimlik avı siteleri, kimlik bilgisi hasat platformları ve kötü amaçlı yazılım dağıtım ağları üretebilen siber suçlular için birkaç dakika içinde çekici olduğunu kanıtlamıştır.
Proofpoint araştırmacıları, Şubat 2025’ten bu yana her ay tehdit olarak tespit edilen on binlerce kötü niyetli sevimli URL’yi tanımladı ve çok faktörlü kimlik doğrulama kimlik avı kitleri, kripto para birimi cüzdan süzücüleri ve sofistike kimlik bilgisi hasat işlemleri de dahil olmak üzere çeşitli saldırı vektörlerini kapsıyor.
.webp)
Araştırmacılar, yüz binlerce kötü niyetli mesajla 5.000’den fazla kuruluşu etkileyen kampanyalar gözlemlediler ve tehdit aktörlerinin bu platformu benimsediği ölçeği gösterdi.
AI tarafından üretilen web sitelerinin çok yönlülüğü, tehdit aktörlerinin Microsoft, UPS ve çeşitli finansal kurumlar dahil olmak üzere önde gelen markaları dikkate değer bir özgünlükle taklit etmelerini sağladı.
.webp)
Bu kampanyalar tipik olarak, meşru markalaşma unsurlarını ve gerçek muadillerini yakından yansıtan ikna edici kullanıcı arayüzlerini içeren sofistike sosyal mühendislik tekniklerini kullanır.
.webp)
Platformun Lovable.APP alanındaki ücretsiz barındırma hizmeti, meşru görünümlü altyapı sağlarken siber suçlular için operasyonel maliyetleri daha da azalttı.
Gelişmiş kötü amaçlı yazılım dağıtım mekanizmaları
Bu tehdidin en ilgili yönü, platformun karmaşık kötü amaçlı yazılım dağıtım zincirlerini kolaylaştırma kapasitesini içerir.
Proofpoint analistleri, basit kimlik avıdan gelişmiş kötü amaçlı yazılım dağılımına kadar evrimi gösteren özellikle sofistike bir Almanca kampanyasını belgeledi.
Saldırı zinciri, daha sonra kurbanları güvenli indirme portalları olarak maskelenen AI tarafından üretilen sevimli uygulamalara yönlendiren çerez yeniden yüklenmiş URL’lere yönlendiren HTML ekleri ile başladı.
Kötü amaçlı yazılım dağıtım işlemi, şifre korumalı indirmeler ve meşru görünümlü arayüzler de dahil olmak üzere birden fazla aldatma katmanı içeriyordu.
Mağdurlar indirme düğmelerini tıkladıklarında, “RE2025” şifresini sağlayan bir açılır pencere ve Dropbox’ta barındırılan bir RAR dosyasına erişim aldılar.
Bu arşiv, Doiloader’ı yürütmek için DLL sideloading gerçekleştiren ve sonuçta 84.32.41.163:7705 tarihine komut ve kontrol iletişimiyle ZGRAT kötü amaçlı yazılımları dağıtan Truva Ace Stream dosyası olan “Rechnung de009100019000.exe” içeriyordu.
Bu sofistike saldırı metodolojisi, AI web sitesi üreticilerinin, meşru iş operasyonlarının görünümünü korurken, siber güvenlik ekipleri için tespit ve önleme çabalarını önemli ölçüde karmaşıklaştırırken karmaşık çok aşamalı kötü amaçlı yazılım dağıtımını nasıl kolaylaştırabileceğini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.