Void Arachne adlı yeni bir tehdit aktörü grubu, Çince konuşan kullanıcıları hedef alan bir kötü amaçlı yazılım kampanyası yürütüyor. Grup, yapay zeka araçları, Çince dil paketleri ve sanal özel ağ (VPN) istemcileri gibi yasal yazılımlarla birlikte gelen kötü amaçlı MSI yükleyici dosyalarını dağıtıyor.
Yükleme sırasında bu dosyalar Winos 4.0 arka kapısını da gizlice yükler ve bu da sistemlerin tamamen tehlikeye atılmasına neden olabilir.
Geçersiz Arachne Taktikleri
Trend Micro’dan araştırmacılar, Void Arachne grubunun kötü niyetli yükleyicileri dağıtmak için arama motoru optimizasyonu (SEO) zehirlenmesi ve Çince Telegram kanallarına bağlantı yayınlama dahil olmak üzere birden fazla teknik kullandığını keşfetti.
- SEO Zehirlenmesi: Grup, meşru yazılım indirme siteleri gibi görünen web siteleri kurdu. SEO zehirlenmesi yoluyla, bu siteleri yaygın Çince yazılım anahtar kelimeleri için arama motorlarında üst sıralarda yer almaya ittiler. Siteler, Chrome, dil paketleri ve VPN’ler gibi yazılımlarla birlikte gelen Winos kötü amaçlı yazılımını içeren MSI yükleyici dosyalarını barındırıyor. Kurbanlar, yalnızca amaçlanan yazılımı yüklediklerine inanarak, istemeden kendilerine Winos bulaştırırlar.
- VPN’leri hedefleme: Void Arachne, yükleyicilerinde ve Telegram gönderilerinde sıklıkla Çin VPN yazılımını hedef alıyor. Hükümet sansürü nedeniyle Çinli internet kullanıcıları arasında VPN kullanımı yüksek olduğundan, VPN’lere olan ilgiyi istismar etmek etkili bir enfeksiyon taktiğidir.
Kaynak: trendmicro.com - Telgraf Kanalları: Void Arachne, SEO zehirlenmesinin yanı sıra Çince ve VPN konularına odaklanan Telegram kanallarında kötü niyetli yükleyicileri paylaştı. On binlerce kullanıcısı olan kanallar, virüslü dil paketleri ve yapay zeka yazılım yükleyicileri içeren gönderileri sabitleyerek maruziyeti artırdı.
- Deepfake Pornografi: Endişe verici bir keşif, rıza dışı derin sahte pornografi üreten çıplaklaştırma uygulamalarını destekleyen grubun ortaya çıkmasıydı. Sınıf arkadaşlarının ve meslektaşlarının fotoğraflarını soyabilme yeteneğinin reklamını yaparak tacizi ve şantajı teşvik ettiler. Etkilenen nudifier yükleyicileri Telegram kanallarında belirgin bir şekilde sabitlendi.
- Yüz/Ses Değiştirme Uygulamaları: Void Arachne ayrıca sanal adam kaçırma gibi aldatma kampanyalarına olanak tanıyan ses değiştirme ve yüz değiştirme uygulamalarının da reklamını yaptı. Saldırganlar bu uygulamaları kurbanların kimliğine bürünmek ve ailelerine fidye için baskı yapmak için kullanabilir. Nudifier’larda olduğu gibi, virüslü ses/yüz değiştirici yükleyicileri de Telegram’da geniş çapta paylaşıldı.
Winos 4.0 C&C Çerçevesi
Kampanyanın arkasındaki tehdit aktörleri sonuçta Winos arka kapısını güvenliği ihlal edilmiş sistemlere kurmayı hedefliyor. Winos, C++ ile yazılmış, virüslü makineleri tamamen ele geçirebilen gelişmiş bir Windows arka kapısıdır.
İlk bulaşma, kötü amaçlı yazılım yapılandırmalarının şifresini çözen ve ana Winos yükünü indiren bir aşama modülüyle başlar. Kampanya operasyonları, oluşturulan oturum anahtarlarını ve dönen bir XOR algoritmasını kullanan şifreli C&C iletişimlerini içerir. Stager modülü daha sonra Winos modülünün tamamını Windows kayıt defterinde saklar ve etkilenen sistemlerde başlatmak için kabuk kodunu çalıştırır.
Winos, uzaktan erişim, keylogging, web kamerası kontrolü, mikrofon kaydı ve dağıtılmış hizmet reddi (DDoS) yetenekleri sağlar. Ayrıca kayıt defteri kontrolleri, dosya aramaları ve süreç enjeksiyonu gibi sistem keşiflerini de gerçekleştirir. Kötü amaçlı yazılım, işlevselliği genişleten başka modüller/eklentiler almak için bir komut ve kontrol sunucusuna bağlanır.
Bu harici eklentilerin birçoğunun Chrome ve QQ gibi programlardan kayıtlı şifreleri toplama, antivirüs yazılımlarını silme ve kendilerini başlangıç klasörlerine ekleme gibi işlevler sağladığı gözlemlendi.
Yapay Zekanın Kötüye Kullanımı ve Deepfake Eğilimi Hakkında
Void Arachne, SEO zehirlenmesi, Telegram kanalları, yapay zeka derin sahtekarlıkları ve ses/yüz değiştirme uygulamalarını kullanarak etkili enfeksiyon taktikleri konusunda teknik gelişmişlik ve bilgi sahibi olduğunu gösteriyor.
Void Arachne kampanyasında gözlemlenen özellikle endişe verici bir trend, rızaya dayalı olmayan derin sahte pornografi oluşturmak için yapay zekayı kullanan çıplaklaştırma uygulamalarının kitlesel olarak çoğalmasıdır. Bu görseller ve videolar genellikle daha fazla istismar, mağdur tacizi ve maddi kazanç amacıyla şantaj planlarında kullanılıyor. Yapay zeka yapay zekasının kullanımının reklamını yapan bir mesajın İngilizce çevirisinde “sınıf arkadaşı” kelimesi kullanılıyor ve bu, hedef pazarlardan birinin reşit olmayanlar olduğunu gösteriyor:
Sadece uygun eğlenceye sahip olun ve kendi şehvetli arzularınızı tatmin edin. Karşı tarafa göndermeyin ve karşı tarafı taciz etmeyin. Polisi aradığınızda başınız sürekli belaya girecek! Yapay zeka kıyafetleri çıkarıyor, sen bana fotoğraflarını veriyorsun, ben de senin için resimler yapacağım. Özlem duyduğunuz kadın sınıf arkadaşınızı, aşık olduğunuz kadın meslektaşınızı, evde yemek yediğiniz, birlikte yaşadığınız akraba ve arkadaşlarınızı görmek ister misiniz? Onları çıplak mı görmek istiyorsun? Artık hayalinizi gerçekleştirebilir, bir paket sigara parası için onları çıplak ve şehvetli görebilirsiniz.
Ayrıca tehdit aktörleri, kurbanları fidye ödemeye zorlamak için yapay zeka ses değiştirme teknolojisinden yararlanan yeni bir aldatma kampanyası olan sanal adam kaçırma için kullanılabilecek yapay zeka teknolojilerinin reklamını yaptı. Bu teknolojinin deepfake çıplaklar ve sanal adam kaçırma için teşvik edilmesi, yapay zekanın kötüye kullanılması tehlikesinin en son örneğidir.