Yeni bir gelişmeyle ilgili, siber suçlular, Vidar Stealer kötü amaçlı yazılımını dağıtmak için yakın zamanda piyasaya sürülen Deepseek AI Chatbot’un yaygın popülaritesinden yararlanıyor.
Zscaler tehdidi tarafından yapılan araştırmalara göre, saldırganlar şüphesiz kullanıcıları kötü amaçlı kod yürütmeye teşvik etmek için marka taktikleri taktiklerini kullanıyor ve böylece hassas verileri tehlikeye atıyorlar.
20 Ocak 2025’te piyasaya sürülen Deepseek hızla küresel ilgi gördü ve bu da onu kötü niyetli kampanyalar için ana hedef haline getirdi.
Tehdit oyuncuları, Deepseek’in resmi platformunu taklit eden hileli web siteleri oluşturdular ve saldırı zincirlerinin bir parçası olarak sahte captcha sayfaları kullandılar.
Bu sayfalar, kullanıcıları VIDAR Bilgi Stealer’ı indiren ve dağıtan zararlı PowerShell komutlarını yürütmeye kandırıyor.
Saldırı zincirinin teknik analizi
Saldırı, Deepseek’in resmi sitesine benzeyen sahte alanların oluşturulmasıyla başlar.
Böyle bir alan, “Deepseekcaptcha[.]Top, ”ziyaretçileri aldatıcı bir captcha sayfasına yönlendirmeden önce bir kayıt işlemini tamamlamaya teşvik eder.
Gömülü JavaScript Bu sayfadaki bir kötü amaçlı PowerShell komutunu kullanıcının panosuna kopyalar.
Yürütülürse, bu komut kurbanın sistemine paketlenmiş bir Vidar Yürütülebilir (1.EXE) indirir.
Dağıtıktan sonra Vidar birincil işlevini başlatır: oturum açma kimlik bilgileri, kripto para birimi cüzdan verileri, tarayıcı çerezleri ve kişisel dosyalar gibi hassas bilgilerin hasat edilmesi.
Kötü amaçlı yazılım ayrıca, komut ve kontrol (C2) altyapısını gizlemek için telgraf ve steam gibi meşru platformlar kullanır.
Kripto para birimi cüzdanlarının ve tarayıcıların sömürülmesi
VIDAR, özellikle kripto para birimi cüzdanlarını ve tarayıcı uzantılarını hedefleyecek şekilde yapılandırılmıştır.
Mağdurların cüzdanla ilgili dosyalar ve konfigürasyonlar için sistemlerini tarar, hassas verileri Metamask, BinanCechainwallet ve Trust Cüzdan gibi popüler cüzdanlardan çıkarır.
Ayrıca, Google Chrome, Microsoft Edge, Opera GX ve BRAVE dahil olmak üzere tarayıcılardan kaydedilmiş kimlik bilgileri ve otomatik doldurma verileri gibi tarayıcı ile ilgili varlıkları çıkarır.
Kötü amaçlı yazılım ayrıca kripto para birimi cüzdanları veya özel anahtarlarla ilişkili belirli dosya adlarını ve uzantıları arar.
Bu yöntemlerden yararlanarak, saldırganlar mağdurların dijital varlıklarına ve hesaplarına erişebilir.
Vidar, çalınan verilerin pessfiltrasyonu için sert kodlanmış uç noktalar kullanır. Bu kampanyada, saldırganlar C2 altyapısını bulmak için halka açık bir buhar topluluk profili ve bir telgraf kanalı kullandı.
İlişkili IP adresleri 77.239.117 içerir[.]222 ve 95.216.178[.]57.
Deepseek’in hızlı sömürülmesi, ortaya çıkan AI teknolojilerinin altını çizmektedir.
Üretken AI araçları önemli faydalar sağlarken, siber suçluların sofistike saldırılar başlatması için yeni fırsatlar da yaratırlar.
Kuruluşlar, yeni kayıtlı alanların izlenmesi ve kullanıcıları kimlik avı taktikleri hakkında eğitmek de dahil olmak üzere bu tehditleri azaltmak için sağlam güvenlik önlemleri benimsemelidir.
Zscaler’ın bulut güvenlik platformu, ViDAR ile ilgili göstergeleri birden fazla düzeyde tespit etti ve bu kampanyaya karşı koruma sağladı.
Bununla birlikte, sıfır güven çerçevelerinin uygulanması ve onaylanmamış uygulamaların kısıtlanması gibi proaktif önlemler bu tür tehditlerle mücadelede kritik olmaya devam etmektedir.
Yapay zeka evlat edinme endüstriler arasında büyümeye devam ettikçe, kullanıcıları gelişen siber risklere karşı korumak için uyanıklık zorunlu olacaktır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free