Kaspersky, internetteki kötü amaçlı kampanyayı deşifre etti

Kaspersky, saldırganların yapay zeka ile oluşturulmuş web sitelerini kullanarak meşru uzaktan erişim aracı Syncro’nun çeşitli sürümlerini dağıttığı kötü amaçlı bir kampanyayı ortaya çıkardı.

Arama motorları veya oltalama e-postaları aracılığıyla kullanıcıları bu sahte sitelere yönlendiren saldırganlar, kripto cüzdanları, antivirüsler ve parola yöneticileri gibi popüler uygulamaları taklit eden sayfalarla kullanıcıları kandırarak meşru yazılımı indirip kurmalarını sağlıyor.

GÜVENLİK UYARILARIYLA KORKUTUYOR

Bu meşru araç daha sonra kötü amaçlarla kullanılıyor. Kampanya, uzaktan erişim elde etmek için uydurma güvenlik uyarılarıyla kullanıcıları korkutan scareware taktiklerini bir araya getiriyor ve nihai hedef olarak kripto varlıklarını çalmayı amaçlıyor.

Saldırganlar, profesyonel görünümlü sayfalar üretmek için "Lovable" isimli yapay zeka tabanlı site oluşturucuyu kullanıyor.

Bu sayfalar; Polymarket gibi çok işlevli tahmin platformları örneğinde olduğu gibi, ilgili konulardaki yaygın arama sorgularına çok benzeyen alan adlarıyla yayınlanıyor. Siteler orijinallerinin birebir kopyası olmasa da oldukça ikna edici varyasyonlar sunuyor; bu da ilk bakışta tespit edilmelerini zorlaştırıyor.

ANTİVİRÜS YA DA YAZILIM GÜNCELLEME KANDIRMACASI

Web siteleri, arama sonuçları üzerinden veya token geçişi vaat eden, bir işlem uygulaması, antivirüs ya da yazılım güncellemesi kurulmasını isteyen aldatıcı e-postalarla trafik çekiyor. Tüm senaryolarda kullanıcılar, genellikle BT ekipleri tarafından uzaktan yönetim için kullanılan meşru Syncro aracını indirip kuruyor.

Bu araç, saldırı senaryosunda önceden yapılandırılmış bir şekilde sunuluyor ve saldırganlara ekran görüntüleme, dosya görüntüleme ve komut yürütme dahil olmak üzere tam yetkili erişim sağlıyor. Araç doğası gereği zararlı olmadığı için standart antivirüs yazılımlarının uyarılarını da tetiklemiyor.

(Uzaktan erişim aracını dağıtan bir oltalama sitesine örnek)

YAPAY ZEKA SİLAHA DÖNÜŞÜYOR

Kaspersky Kötü Amaçlı Yazılım Analisti Vladimir Gursky, “Kampanya, meşru araçların yapay zeka destekli aldatma yöntemleriyle silaha dönüştürüldüğü gelişen tehdit ortamının altını çiziyor. Siber suçlular, yüksek kaliteli sahte sitelerin üretimini otomatikleştirerek saldırıları ölçeklendirebiliyor; kullanıcıların tanıdık markalara ve acil uyarılara duyduğu güveni suistimal ediyor. Bu durum, güvenilir görünen kaynaklardan imzalı yazılımların bile dikkatle değerlendirilmesi gerektiğini güçlü biçimde hatırlatıyor.” dedi.

(Syncro uzaktan erişim yazılımı, kullanıcı sahte web sitelerinden indirdikten ve çalıştırdıktan sonra)

ALINACAK TEDBİRLER

Bu tür saldırılara karşı korunmak için Kaspersky, özellikle finansal işlemler veya kripto varlıkları yönetilen cihazlarda doğrulanmamış kaynaklardan yazılım indirilmemesini tavsiye ediyor. İşleme geçmeden önce web sitesi URL’lerini her zaman resmi kaynaklarla karşılaştırmak ve kurulum önerilen veya halihazırda kurulu olan uzaktan erişim araçlarını dikkatle incelemek büyük önem taşıyor.

Ayrıca, kimlik avı korumasını etkinleştirmek ve Kaspersky Premium gibi çözümlerle düzenli güvenlik denetimleri gerçekleştirerek uzaktan erişim suiistimallerinden kaynaklanan riskleri en aza indirmek mümkün.