Kaspersky, saldırganların yapay zekâ destekli sahte web siteleri kullanarak meşru uzaktan erişim aracı Syncro’nun çeşitli sürümlerini dağıttığı kötü niyetli bir kampanyayı tespit etti. Bu kampanyada, arama motorları ve oltalama e-postaları yoluyla kullanıcılar sahte sitelere yönlendirilerek, kripto cüzdanları, antivirüs programları ve parola yöneticileri gibi popüler uygulamaları taklit eden sayfalarda meşru yazılımı indirip kurmaları sağlanıyor. Ancak bu yazılım, sonrasında kötü amaçlarla kullanılıyor.
Kampanya, kullanıcıları korkutmak için uydurma güvenlik uyarıları içeren scareware taktiklerini bir araya getiriyor ve nihai hedef olarak kripto varlıklarını çalmak bulunuyor. Saldırganlar, profesyonel görünümlü sayfalar oluşturmak için yapay zekâ tabanlı site oluşturucu 'Lovable'ı kullanıyor. Bu sayfalar, Polymarket gibi çok işlevli tahmin platformlarına benzer ve yaygın arama sorgularına yakın alan adlarıyla yayınlanıyor. Orijinallerinin birebir kopyası olmasalar da oldukça ikna edici varyasyonlar sunarak tespit edilmelerini zorlaştırıyorlar.
Sahte siteler, arama sonuçları veya token geçişi vaat eden, işlem uygulaması, antivirüs ya da yazılım güncellemesi kurulmasını isteyen aldatıcı e-postalar aracılığıyla trafik çekiyor. Kullanıcılar, genellikle BT ekipleri tarafından uzaktan yönetim için kullanılan meşru Syncro aracını indirip kuruyor. Bu araç, saldırı senaryosunda önceden yapılandırılmış şekilde sunuluyor ve saldırganlara ekran görüntüleme, dosya görüntüleme ve komut yürütme gibi tam yetkili erişim sağlıyor. Syncro’nun zararlı olmaması nedeniyle standart antivirüs programları tarafından uyarı vermiyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
