Mantiant Tehdit Savunması, INC6032 tehdit grubu tarafından düzenlenen ve yapay zeka (AI) ile küresel cazibeden yararlanan kötü niyetli bir kampanyayı ortaya çıkardı.
En azından 2024’ten bu yana, UNC6032, kötü amaçlı yazılım dağıtmak için sahte AI video jeneratör web sitelerini dağıtıyor ve özellikle Facebook ve LinkedIn gibi platformlarda aldatıcı sosyal medya reklamları aracılığıyla kullanıcıları hedefliyor.
Luma AI, Canva Dream Lab ve Kling AI gibi meşru araçları taklit eden bu reklamlar, dünya çapında milyonlarca kullanıcıya ulaştı ve onları python tabanlı infostererlar ve arka planlar sunan hileli sitelere çekti.
.png
)
Kötü niyetli kampanyalarla AI çılgınlığından yararlanmak
Google Tehdit İstihbarat Grubu’na (GTIG) göre şüpheli bir Vietnam Nexus ile, bu kampanya, farklı coğrafi ve endüstrilerdeki erişim ve etkilerini en üst düzeye çıkarmak için trend teknolojilerinden yararlanan siber suçluların artan eğiliminin altını çiziyor.
Enfeksiyon, kullanıcıları meşru metin-Video veya görüntüden arama araçlarını taklit etmek için tasarlanmış AI web sitelerine yönlendiren kötü niyetli reklamlarla başlar.
Etkileşim üzerine, kullanıcılara, genellikle çift uzantılarla (örneğin .mp4.exe) adlandırılan ve gerçek dosya türünü gizlemek için Unicode Braille desen boş karakterleri kullanan gizlenmiş bir yürütülebilir dosyayı içeren bir zip arşivi indirmeleri istenir.
Mantiant tarafından Starkveil olarak tanımlanan bu yürütülebilir, C: \ Winsystem gibi dizinlerin altına gömülü kötü amaçlı yazılım bileşenlerini çıkaran pas tabanlı bir damlalıktır.
Enfeksiyon zincirinin teknik dökümü
Sonraki yürütmede, py.exe gibi süreçleri, yükleri çözmek için RSA, AES, RC4 ve XOR’u içeren karmaşık şifreleme teknikleri kullanan gizlenmiş Python komut dosyalarını (coilhatch olarak izlenir) çalıştırmak için ortaya çıkarır.
Bu yükler, bilgi hırsızlığını, otomatik kayıt anahtarları aracılığıyla kalıcılığı ve ev sahibi sistemlerin ve tarayıcı uzantılarının kapsamlı keşiflerini kolaylaştıran Grimmull (C2 iletişimi için TOR kullanan bir .NET indirici), Xworm ve Frostrift (her ikisi de .NET backdoors) gibi modüler kötü amaçlı yazılım ailelerini içerir.
Kötü amaçlı yazılım, oturum açma kimlik bilgileri, çerezler, kredi kartı bilgileri ve hatta kripto para birimi cüzdanı detayları gibi hassas verileri çalıyor, bunları telgraf API’sı veya tcp bağlantıları strokes gibi alanlara eklemek.[.]Org.
Gelişmiş anti-VM ve anti-analiz kontrolleri tespiti daha da karmaşıklaştırarak bu kampanyayı hem bireyler hem de kuruluşlar için önemli bir tehdit haline getiriyor.
Mantiant, Meta’nın 2024’teki proaktif çabalarının, kendi uyarılarının yanı sıra, çok sayıda kötü amaçlı reklam ve alanın kaldırılmasına yol açtığını, ancak tehdit aktörlerinin dönen alanlar taktiği sürekli riski sağladığını belirtiyor.
Bu kampanya, yeni teknolojinin cazibesi, şüpheli olmayan kullanıcıları kolayca engelleyebileceğinden, AI araçlarıyla dikkatli olmanın ve web sitesi meşruiyetini doğrulamanın aciliyetini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Notalar |
|---|---|---|
| Dosya (SHA256) | 8863065544df546920ce6189dd3f9ab3f5d644d3d9c44067c1476174ba862b | Lumalabs_1926326251082123689-626.zip |
| Dosya (SHA256) | D3f50dc61d8c2be665a2d3933e2668448edc3154feaa84517f8e611237c6d2e5d | Yıldızlı |
| C2 Alanı | Strokes.zapto[.]Org: 7789 | Grimpull c2 |
| C2 Alanı | zanaat[.]ddnsking[.]com: 25699 | Xworm C2 |
| Sahte alan | Lumalabsai[.]içinde | Kayıtlı 2025-01-16 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!