Kaspersky, saldırganların yapay zekâ ile oluşturulmuş web sitelerini kullanarak yasal uzaktan erişim aracı Syncro’nun çeşitli sürümlerini dağıttığı makûs hedefli bir kampanyayı ortaya çıkardı. Arama motorları yahut oltalama e-postaları aracılığıyla kullanıcıları bu düzmece sitelere yönlendiren saldırganlar, kripto cüzdanları, antivirüsler ve parola yöneticileri üzere tanınan uygulamaları taklit eden sayfalarla kullanıcıları kandırarak yasal yazılımı indirip kurmalarını sağlıyor. Bu legal araç daha sonra berbat emellerle kullanılıyor. Kampanya, uzaktan erişim elde etmek için uydurma güvenlik ikazlarıyla kullanıcıları korkutan scareware taktiklerini bir ortaya getiriyor ve son gaye olarak kripto varlıklarını çalmayı amaçlıyor. Saldırganlar, profesyonel görünümlü sayfalar üretmek için ‘Lovable’ isimli yapay zekâ tabanlı site oluşturucuyu kullanıyor. Bu sayfalar; Polymarket üzere çok fonksiyonlu kestirim platformları örneğinde olduğu üzere, ilgili hususlardaki yaygın arama sorgularına çok benzeyen alan isimleriyle yayınlanıyor. Siteler yepyenilerinin birebir kopyası olmasa da epeyce ikna edici varyasyonlar sunuyor; bu da birinci bakışta tespit edilmelerini zorlaştırıyor. Web siteleri, arama sonuçları üzerinden yahut token geçişi vaat eden, bir süreç uygulaması, antivirüs ya da yazılım güncellemesi kurulmasını isteyen aldatıcı e-postalarla trafik çekiyor. Tüm senaryolarda kullanıcılar, çoklukla BT grupları tarafından uzaktan idare için kullanılan legal Syncro aracını indirip kuruyor. Bu araç, atak senaryosunda evvelden yapılandırılmış bir halde sunuluyor ve saldırganlara ekran görüntüleme, evrak görüntüleme ve komut yürütme dahil olmak üzere tam yetkili erişim sağlıyor. Araç tabiatı gereği ziyanlı olmadığı için standart antivirüs yazılımlarının ihtarlarını da tetiklemiyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı