Yapay Zekayla Oluşturulmuş Bu Siteler Dolandırıcıların Yeni Taktiği

Kaspersky, saldırganların yapay zekâ ile oluşturulmuş web sitelerini kullanarak meşru uzaktan erişim aracı Syncro’nun çeşitli sürümlerini dağıttığı kötü amaçlı bir kampanyayı ortaya çıkardı.

Arama motorları veya oltalama e-postaları aracılığıyla kullanıcıları bu sahte sitelere yönlendiren saldırganlar, kripto cüzdanları, antivirüsler ve parola yöneticileri gibi popüler uygulamaları taklit eden sayfalarla kullanıcıları kandırarak meşru yazılımı indirip kurmalarını sağlıyor. Bu meşru araç daha sonra kötü amaçlarla kullanılıyor. Kampanya, uzaktan erişim elde etmek için uydurma güvenlik uyarılarıyla kullanıcıları korkutan scareware taktiklerini bir araya getiriyor ve nihai hedef olarak kripto varlıklarını çalmayı amaçlıyor.

Uzaktan erişim aracını dağıtan bir oltalama sitesine örnek

Uzaktan erişim aracını dağıtan bir kimlik avı web sitesine örnek

Saldırganlar, profesyonel görünümlü sayfalar üretmek için ‘Lovable’ isimli yapay zekâ tabanlı site oluşturucuyu kullanıyor. Bu sayfalar; Polymarket gibi çok işlevli tahmin platformları örneğinde olduğu gibi, ilgili konulardaki yaygın arama sorgularına çok benzeyen alan adlarıyla yayınlanıyor. Siteler orijinallerinin birebir kopyası olmasa da oldukça ikna edici varyasyonlar sunuyor; bu da ilk bakışta tespit edilmelerini zorlaştırıyor. Web siteleri, arama sonuçları üzerinden veya token geçişi vaat eden, bir işlem uygulaması, antivirüs ya da yazılım güncellemesi kurulmasını isteyen aldatıcı e-postalarla trafik çekiyor. Tüm senaryolarda kullanıcılar, genellikle BT ekipleri tarafından uzaktan yönetim için kullanılan meşru Syncro aracını indirip kuruyor. Bu araç, saldırı senaryosunda önceden yapılandırılmış bir şekilde sunuluyor ve saldırganlara ekran görüntüleme, dosya görüntüleme ve komut yürütme dahil olmak üzere tam yetkili erişim sağlıyor. Araç doğası gereği zararlı olmadığı için standart antivirüs yazılımlarının uyarılarını da tetiklemiyor.

Syncro uzaktan erişim yazılımı, kullanıcı sahte web sitelerinden indirdikten ve çalıştırdıktan sonra

Kaspersky Kötü Amaçlı Yazılım Analisti Vladimir Gursky: “Kampanya, meşru araçların yapay zekâ destekli aldatma yöntemleriyle silaha dönüştürüldüğü gelişen tehdit ortamının altını çiziyor. Siber suçlular, yüksek kaliteli sahte sitelerin üretimini otomatikleştirerek saldırıları ölçeklendirebiliyor; kullanıcıların tanıdık markalara ve acil uyarılara duyduğu güveni suistimal ediyor. Bu durum, güvenilir görünen kaynaklardan imzalı yazılımların bile dikkatle değerlendirilmesi gerektiğini güçlü biçimde hatırlatıyor” dedi.

Bu tür saldırılara karşı korunmak için Kaspersky, özellikle finansal işlemler veya kripto varlıkları yönetilen cihazlarda doğrulanmamış kaynaklardan yazılım indirilmemesini tavsiye ediyor. İşleme geçmeden önce web sitesi URL’lerini her zaman resmi kaynaklarla karşılaştırmak ve kurulum önerilen veya hâlihazırda kurulu olan uzaktan erişim araçlarını dikkatle incelemek büyük önem taşıyor. Ayrıca, kimlik avı korumasını etkinleştirmek ve Kaspersky Premium gibi çözümlerle düzenli güvenlik denetimleri gerçekleştirerek uzaktan erişim suiistimallerinden kaynaklanan riskleri en aza indirmek mümkün.