ChatGPT, InVideo AI gibi popüler yapay zeka araçlarının sahte kurulum dosyaları, son dönemde siber suçlular tarafından çeşitli zararlı yazılımları yaymak için tuzak olarak kullanılıyor. Bu yazılımlar arasında CyberLock ve Lucky_Gh0$t fidye yazılımları ile yeni tespit edilen Numero isimli yıkıcı bir zararlı da bulunuyor.Cisco Talos’tan güvenlik araştırmacısı Chetan Raghuprasad’a göre, PowerShell tabanlı CyberLock fidye yazılımı belirli dosyaları şifrelemeye odaklanıyor. Lucky_Gh0$t ise Chaos fidye yazılım serisinin altıncı sürümü olan Yashma’nın biraz değiştirilmiş bir versiyonu.Numero ise çok daha yıkıcı bir zararlı. Windows işletim sisteminin grafik arayüz bileşenlerini manipüle ederek bilgisayarları kullanılamaz hale getiriyor.Gerçek AI araçlarının özellikle pazarlama ve B2B satış sektörlerinde popüler olduğunu belirten uzmanlar, bu sektörlerdeki bireylerin ve firmaların saldırıların asıl hedefi olduğunu söylüyor.Bu tür sahte sitelerden biri olan “novaleadsai[.]com”, muhtemelen NovaLeads adlı gerçek bir platformun adını taklit ediyor. Arama motoru sonuçlarında öne çıkmak için SEO manipülasyonu kullanıldığı düşünülüyor.
Siteye giren kullanıcılara, aracı ilk yıl ücretsiz sunup sonraki aylarda 95 dolar abonelik ücreti alınacağı söyleniyor. Ancak indirilen şey aslında içinde .NET tabanlı kötü amaçlı bir “NovaLeadsAI.exe” dosyası bulunan bir ZIP arşivi. Bu dosya, PowerShell üzerinden CyberLock fidye yazılımını yüklüyor.Yazılım çalıştırıldığında, yönetici yetkileri kazanıp kendini yeniden başlatabiliyor. Ardından C:, D:\ ve E:\ sürücülerinde belirli dosya uzantılarına sahip verileri şifreliyor ve kurbana Monero ile 50.000 dolar fidye ödemesi yapması gerektiğini söyleyen bir not bırakıyor. Üstelik saldırgan, bu paranın Filistin, Ukrayna, Afrika ve Asya gibi bölgelerde kadın ve çocuklara yardım etmek amacıyla kullanılacağını iddia ediyor.
Son adımda saldırgan, “cipher.exe” adlı yasal Windows aracını kullanarak boş disk alanını siliyor ve silinmiş dosyaların kurtarılmasını neredeyse imkânsız hale getiriyor.Talos’un raporuna göre, benzer bir yöntemle Lucky_Gh0$t fidye yazılımı da sahte bir “ChatGPT Premium” kurulum dosyasıyla yayılıyor. Kurulum dosyasında “dwn.exe” adlı kötü amaçlı bir dosya bulunuyor. Bu dosya, Microsoft’un yasal “dwm.exe” sistem dosyasını taklit ediyor. Aynı klasörde geliştiriciler ve veri bilimciler için GitHub’da bulunan gerçek Microsoft AI araçları da yer alıyor. Kurulum çalıştırıldığında zararlı yazılım aktif hale geliyor. Lucky_Gh0$t, 1.2 GB’tan küçük dosyaları hedef alıyor, sistemdeki geri yükleme noktalarını ve yedekleri siliyor. Kurbanlara benzersiz bir kimlik kodu içeren bir fidye notu bırakıyor ve iletişim için Session uygulamasını kullanmalarını istiyor.
Başka bir saldırı örneğinde ise InVideo AI gibi yapay zeka destekli video üretim araçlarının sahte sürümleri kullanılıyor. Bu sahte kurulumlar, içinde üç bileşen barındırıyor: bir batch dosyası, bir Visual Basic Script ve Numero adlı zararlı yazılım. Kurulum başlatıldığında, batch dosyası sonsuz bir döngü içinde çalışarak zararlıyı sürekli yeniden başlatıyor.Numero, 32-bit C++ ile yazılmış bir Windows uygulaması. Zararlı, analiz araçlarını ve hata ayıklayıcıları tespit ediyor, masaüstü arayüzünü tamamen bozarak her yeri “1234567890” karakterleriyle dolduruyor.Google’a bağlı siber güvenlik şirketi Mandiant da benzer bir başka kampanyayı ortaya çıkardı. Bu saldırıda, Facebook ve LinkedIn’de yayımlanan zararlı reklamlar aracılığıyla Luma AI, Canva Dream Lab ve Kling AI gibi sahte AI araçlarının kurulumları dağıtılıyor.
Bu saldırıların arkasında Vietnam bağlantılı bir grup olan UNC6032’nin olduğu düşünülüyor. Grup, 2024 ortasından beri aktif. Kullanıcılar bu sahte sitelere yönlendirilip video üretmek için metin girmeye teşvik ediliyor, fakat bu işlem yalnızca “STARKVEIL” adlı zararlı bir yükleyiciyi indirmeye yarıyor.
STARKVEIL, üç farklı kötü amaçlı yazılımı sisteme bırakıyor:
- GRIMPULL: TOR ağı üzerinden ek zararlılar indiriyor.
- FROSTRIFT: Sistemi tarayıp yüklü uygulamaları ve tarayıcılardaki şifre yöneticilerini analiz ediyor.
- XWorm: Uzak erişim sağlayıp ekran görüntüsü alma, komut çalıştırma, tuş kaydı yapma gibi işlemleri gerçekleştiriyor.
STARKVEIL, bu zararlıları çalıştırmak için “COILHATCH” adlı bir Python tabanlı yükleyiciyi de devreye sokuyor.Mandiant son olarak şu uyarıyı yapıyor: “Bu tür yapay zeka araçları sadece tasarımcıları değil, artık herkesi hedef alıyor. Merak ya da hevesle indirilen bir araç, kullanıcıyı kolayca kurban haline getirebilir!!!
