Kaspersky, saldırganların yapay zekâ ile oluşturulmuş web sitelerini kullanarak yasal uzaktan erişim aracı Syncro’nun çeşitli sürümlerini dağıttığı berbat maksatlı bir kampanyayı ortaya çıkardı. Arama motorları yahut oltalama e-postaları aracılığıyla kullanıcıları bu uydurma sitelere yönlendiren saldırganlar, kripto cüzdanları, antivirüsler ve parola yöneticileri üzere tanınan uygulamaları taklit eden sayfalarla kullanıcıları kandırarak legal yazılımı indirip kurmalarını sağlıyor. Bu yasal araç daha sonra berbat maksatlarla kullanılıyor. Kampanya, uzaktan erişim elde etmek için uydurma güvenlik ihtarlarıyla kullanıcıları korkutan scareware taktiklerini bir ortaya getiriyor ve sonuncu amaç olarak kripto varlıklarını çalmayı amaçlıyor. Saldırganlar, profesyonel görünümlü sayfalar üretmek için ‘Lovable’ isimli yapay zekâ tabanlı site oluşturucuyu kullanıyor. Bu sayfalar; Polymarket üzere çok fonksiyonlu varsayım platformları örneğinde olduğu üzere, ilgili mevzulardaki yaygın arama sorgularına çok benzeyen alan isimleriyle yayınlanıyor. Siteler yepyenilerinin birebir kopyası olmasa da epey ikna edici varyasyonlar sunuyor; bu da birinci bakışta tespit edilmelerini zorlaştırıyor. Web siteleri, arama sonuçları üzerinden yahut token geçişi vaat eden, bir süreç uygulaması, antivirüs ya da yazılım güncellemesi kurulmasını isteyen aldatıcı e-postalarla trafik çekiyor. Tüm senaryolarda kullanıcılar, ekseriyetle BT takımları tarafından uzaktan idare için kullanılan legal Syncro aracını indirip kuruyor. Bu araç, akın senaryosunda evvelce yapılandırılmış bir biçimde sunuluyor ve saldırganlara ekran görüntüleme, evrak görüntüleme ve komut yürütme dahil olmak üzere tam yetkili erişim sağlıyor. Araç tabiatı gereği ziyanlı olmadığı için standart antivirüs yazılımlarının ikazlarını da tetiklemiyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
