Güvenlik uzmanları, saldırganların yapay zekâ ile oluşturulmuş web sitelerini kullanarak meşru uzaktan erişim aracı Syncro’nun çeşitli sürümlerini dağıttığı kötü amaçlı bir kampanyayı ortaya çıkardı.
Arama motorları veya oltalama e-postaları aracılığıyla kullanıcıları bu sahte sitelere yönlendiren saldırganlar, kripto cüzdanları, antivirüsler ve parola yöneticileri gibi popüler uygulamaları taklit eden sayfalarla kullanıcıları kandırarak meşru yazılımı indirip kurmalarını sağlıyor.
Bu meşru araç daha sonra kötü amaçlarla kullanılıyor. Kampanya, uzaktan erişim elde etmek için uydurma güvenlik uyarılarıyla kullanıcıları korkutan scareware taktiklerini bir araya getiriyor ve nihai hedef olarak kripto varlıklarını çalmayı amaçlıyor.
Saldırganlar, profesyonel görünümlü sayfalar üretmek için ‘Lovable’ isimli yapay zekâ tabanlı site oluşturucuyu kullanıyor. Bu sayfalar; Polymarket gibi çok işlevli tahmin platformları örneğinde olduğu gibi, ilgili konulardaki yaygın arama sorgularına çok benzeyen alan adlarıyla yayınlanıyor. Siteler orijinallerinin birebir kopyası olmasa da oldukça ikna edici varyasyonlar sunuyor; bu da ilk bakışta tespit edilmelerini zorlaştırıyor.
Web siteleri, arama sonuçları üzerinden veya token geçişi vaat eden, bir işlem uygulaması, antivirüs ya da yazılım güncellemesi kurulmasını isteyen aldatıcı e-postalarla trafik çekiyor. Tüm senaryolarda kullanıcılar, genellikle BT ekipleri tarafından uzaktan yönetim için kullanılan meşru Syncro aracını indirip kuruyor. Bu araç, saldırı senaryosunda önceden yapılandırılmış bir şekilde sunuluyor ve saldırganlara ekran görüntüleme, dosya görüntüleme ve komut yürütme dahil olmak üzere tam yetkili erişim sağlıyor. Araç doğası gereği zararlı olmadığı için standart antivirüs yazılımlarının uyarılarını da tetiklemiyor.
Kötü Amaçlı Yazılım Analisti Vladimir Gursky: “Kampanya, meşru araçların yapay zekâ destekli aldatma yöntemleriyle silaha dönüştürüldüğü gelişen tehdit ortamının altını çiziyor. Siber suçlular, yüksek kaliteli sahte sitelerin üretimini otomatikleştirerek saldırıları ölçeklendirebiliyor; kullanıcıların tanıdık markalara ve acil uyarılara duyduğu güveni suistimal ediyor. Bu durum, güvenilir görünen kaynaklardan imzalı yazılımların bile dikkatle değerlendirilmesi gerektiğini güçlü biçimde hatırlatıyor.” dedi.
