Bilgi hırsızları, gelişmiş sosyal mühendislik taktikleriyle tüm işletim sistemlerini ve bölgeleri hedef alarak 2025’in en hızlı büyüyen siber tehdidi haline geldi.
Kaspersky uzmanları tarafından keşfedilen yeni bir kampanyada saldırganlar, resmi ChatGPT web sitesini kötü amaçlı kurulum kılavuzları için bir barındırma platformu olarak kullanarak kullanıcıların OpenAI Atlas tarayıcısına olan ilgisinden yararlanıyor.
Saldırı, Google’daki ücretli arama reklamlarıyla başlıyor. “Chatgpt atlas” araması yapıldığında ilk sponsorlu sonuç, “macOS için ChatGPT™ Atlas – Mac için ChatGPT Atlas’ı İndirin” başlıklı resmi chatgpt.com alanına bağlantı veriyor gibi görünüyor. Bu, kullanıcıları kötü amaçlı bağlantıya tıklamaya ikna eden bir meşruiyet yanılsaması yaratır.
Ancak reklama tıklamak aslında kullanıcıları platformun Paylaş özelliği kullanılarak yayınlanan paylaşılan bir ChatGPT sohbetine yönlendiriyor.
Saldırganlar, ChatGPT’yi ikna edici bir kurulum kılavuzu oluşturmaya zorlamak için hızlı mühendislik silahını kullandılar ve ardından şüphe uyandırmamak için önceki diyaloglarını arındırdılar.
Daha az teknoloji meraklısı kullanıcılar, resmi belgeler yerine halka açık bir konuşmayı okuduklarının farkına varmadan bunları meşru talimatlar olarak kabul edebilir.
Bu teknik, kendi etki alanlarında içerik paylaşımına izin veren meşru hizmetleri kötüye kullanan saldırganların giderek artan bir örneğinden yararlanıyor.
Önceki kampanyalarda Dropbox, Google Dokümanlar, GitHub, GitLab ve Google Forms kötüye kullanıldı. Artık yapay zeka sohbet robotu konuşmalarını paylaşma yeteneği, bir yandan güvenilirlik maskesini korurken diğer yandan kötü amaçlı içerik dağıtmak için başka bir vektör sağlıyor.
ClickFix Tuzağı
Kurulum kılavuzu, kullanıcılara ClickFix saldırı tekniğinin bir çeşidi olan Terminal’de tek bir kod satırı çalıştırma talimatı veriyor.
Komut, atlas-extension.com adresinden kötü amaçlı bir komut dosyası indirir ve onu hemen çalıştırır.
Çoğu kullanıcı, şüpheli kaynaklardan gelen yürütülebilir dosyaları çalıştırmanın daha iyi olduğunu bilse de, bu yöntem, kullanıcıların kod başlattıklarına değil, yazılım yüklediklerine inandıkları olayın gerçek doğasını gizler.
Çalıştırıldığında, komut dosyası kullanıcının sistem şifresini ister. Sistem komutlarını çalıştırmak için “kullanıcı adı + şifre” kombinasyonunun işe yarayıp yaramadığını kontrol ederek kimlik bilgilerini doğrular.
Yanlışsa istem süresiz olarak tekrarlanır. Doğruysa, komut dosyası gerçek kötü amaçlı yazılım yükünü indirir ve yükler.
AMOS Bilgi Hırsızı
Başarılı bir şekilde yararlanma, Chrome, Firefox ve diğer tarayıcılardan şifreler ve çerezler dahil olmak üzere kapsamlı hassas verileri toplayabilen gelişmiş bir bilgi hırsızı olan AMOS’u (Atomic macOS Stealer) dağıtır.
Ayrıca Telegram Desktop ve OpenVPN Connect gibi uygulamalardan gelen verilerin yanı sıra Electrum, Coinomi ve Exodus gibi kripto cüzdanlarını da hedefliyor.
Kötü amaçlı yazılım ayrıca Masaüstü, Belgeler, İndirilenler klasörleri ve Notlar uygulamasından TXT, PDF ve DOCX uzantılı dosyaları çalar.
Veri sızdırmanın ötesinde AMOS, sistem yeniden başlatıldığında otomatik olarak başlatılacak şekilde yapılandırılmış kalıcı bir arka kapı kurarak saldırganlara uzaktan kontrol yetenekleri sağlar.
Kullanıcılar, başta macOS sistemleri olmak üzere tüm cihazlarda güvenilir kötü amaçlı yazılımlara karşı koruma sağlamalıdır.
Ne kadar meşru görünürse görünsün asla istenmeyen kaynaklardan gelen komutları çalıştırmayın. Şüpheli kurulum kılavuzlarıyla karşılaştığınızda ya web sitesini hemen kapatın ya da devam etmeden önce komutların bir yapay zeka sohbet robotu tarafından değerlendirilmesini sağlayın.
Bu saldırı, yapay zeka araçlarının sosyal mühendislik için birincil hedefler haline geldiğini ve bu teknolojilere aşina olmayan kullanıcıların daha fazla dikkatli olmasını gerektirdiğini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.