Yapay zeka devrimi hız kesmeden devam ederken, siber dolandırıcılar da boş durmuyor. Dünyanın en popüler yapay zeka aracı olan ChatGPT, yeni ve oldukça sinsi bir siber saldırı kampanyasının merkezinde yer alıyor. Son günlerde ortaya çıkan ve hem Windows hem de macOS kullanıcılarını hedef alan bu yeni tuzak, "orijinal" bağlantıları kullanarak güvenlik duvarlarını aşmayı başarıyor.

Eğer son zamanlarda bilgisayarınıza bir ChatGPT masaüstü uygulaması indirmeyi düşündüyseniz, bu haberi dikkatle okumanızda fayda var.

Orijinal OpenAI Bağlantılarıyla Gelen Tehlike: "LLMShare" Yöntemi

Siber güvenlik firması Push Security araştırmacıları tarafından keşfedilen ve "LLMShare" adı verilen bu yeni saldırı yöntemi, alıştığımız virüslü bağlantı taktiklerinden çok daha zekice kurgulanmış durumda.

Saldırganlar, ChatGPT'nin başkalarıyla sohbet paylaşma (share) özelliğini kötüye kullanıyor. Gerçek ve tamamen yasal olan OpenAI alan adı üzerinde özel bir sayfa oluşturan hackerlar, bu sayfayı sanki resmi bir sistem uyarısıymış gibi tasarlıyor. Kullanıcı bu bağlantıya tıkladığında karşısına, "Sistemde yoğunluk yaşanıyor" veya "Bakım çalışması yapılıyor, kesintisiz deneyim için masaüstü uygulamasını indirin" şeklinde sahte ancak çok inandırıcı uyarılar çıkıyor.

Bağlantı doğrudan resmi OpenAI sunucularından geldiği için, bilgisayarınızdaki veya şirketinizdeki pek çok güvenlik filtresi ve antivirüs yazılımı bu sayfayı "şüpheli" olarak işaretlemiyor.

Kurbanlar Google Reklamları Üzerinden Avlanıyor

Peki kullanıcılar bu tuzağa nasıl çekiliyor? Cevap çok basit: Sponsorlu Google Reklamları.

Siber suçlular, arama motorlarında “ChatGPT”, “ChatGPT masaüstü uygulaması” ve “ChatGPT indir” gibi popüler kelimelere reklam veriyor. En üst sırada çıkan ve güvenilir görünen bu sponsorlu bağlantılara tıklayan kullanıcılar, kendilerini az önce bahsettiğimiz, resmi OpenAI bağlantısı gibi görünen o sahte uyarı sayfasında buluyorlar.

İndirme Butonunun Arkasındaki Karanlık Yüz: Odyssey Stealer

Kullanıcı sahte sayfadaki "İndir" butonuna bastığı anda ise asıl felaket başlıyor. Buton, kurbanı OpenAI'ın masaüstü indirme sayfasını birebir taklit eden, ancak tamamen farklı ve zararlı bir alan adına yönlendiriyor.

Bu noktadan sonra indirilen dosyalar işletim sisteminize göre değişiklik gösteriyor:

• Mac Kullanıcıları (macOS): Cihaza, şifreleri ve hassas verileri çalmak üzere tasarlanmış Odyssey Stealer adlı bilgi hırsızı (infostealer) bir zararlı yazılım yükleniyor.

• Windows Kullanıcıları: Sisteme sızmaya çalışan yazılım, oldukça akıllı bir mekanizmaya sahip.

Sanal Ortamları Tespit Eden Akıllı Virüsler

Bu yeni nesil zararlı yazılımların en korkutucu yanlarından biri de "farkındalık" yetenekleri. BleepingComputer tarafından yapılan analizlere göre, saldırıda kullanılan yazılım cihazınıza iner inmez hemen harekete geçmiyor. Önce etrafı "kokluyor".

Yazılım; sistemde bir güvenlik araştırmacısına ait sanal makine (Virtual Machine) veya analiz aracı (Sandbox) olup olmadığını kontrol ediyor. Eğer bir güvenlik şirketinin laboratuvar ortamında çalıştırıldığını fark ederse, kendini gizliyor. Ancak normal bir ev veya ofis bilgisayarında olduğunu doğrularsa, zararlı kodlarını serbest bırakarak verilerinizi çalmaya başlıyor.

Yapay Zeka, Siber Saldırıların Yeni Silahı mı Oluyor?

Güvenlik uzmanlarına göre bu olay münferit bir vaka değil; saldırganların yapay zekayı kötü amaçlı yazılım dağıtmak için kullanma eğilimi hızla artıyor.

Bunun en çarpıcı örneklerinden biri de son dönemde Ukrayna'daki altyapıları hedef alan GreyVibe adlı siber tehdit grubu. Araştırmacılar, bu grubun teknik bilgi eksikliklerini kapatmak, kodlarını güvenlik yazılımlarından gizlemek ve çok daha inandırıcı "sosyal mühendislik" (dolandırıcılık) metinleri yazmak için yapay zekayı aktif olarak kullandığını belirtiyor.

GreyVibe grubunun son dönemdeki dikkat çeken faaliyetleri arasında şunlar yer alıyor:

• PhantomMail: Devlet kurumlarını taklit eden, kusursuz yazılmış oltalama (phishing) e-postaları.

• PhantomClick: Kullanıcıları sahte CAPTCHA (robot değilim) doğrulama ekranlarına yönlendirerek arka planda zararlı PowerShell komutları çalıştıran sistem.

• PrincessClub: Android cihazlara casus yazılım (spyware) sızdırmak için kurulan sahte yetişkin içerik siteleri.

Editörden Güvenlik Tavsiyesi

Teknoloji dünyasının nimetlerinden faydalanırken güvenliğinizi tehlikeye atmamak için, ChatGPT gibi popüler uygulamaları sadece ve sadece resmi web sitelerinden (chatgpt.com) veya işletim sisteminizin resmi uygulama mağazalarından (Mac App Store, Microsoft Store vs.) indirmeye özen gösterin. Arama motorlarındaki sponsorlu reklamlara tıklarken her zaman ekstra dikkatli olun.

Kaynak: Chip