Teknoloji devi Microsoft, son zamanlarda artan bir siber saldırı kampanyasını ortaya çıkardı. Bu kampanya, arama motoru optimizasyonu (SEO) zehirlenmesi ve yapay zeka sohbet robotları aracılığıyla kullanıcıları hedef alarak, popüler bilgisayar yazılımları gibi görünen kripto madenciliği kötü amaçlı yazılımları yayıyor. Oyuncular ve güçlü grafik kartlarına sahip bilgisayar kullanıcıları bu saldırıların ana hedefi olarak belirlenmiş durumda.
Microsoft'un güvenlik uzmanları tarafından yayınlanan detaylı bir rapora göre, bu saldırı operasyonu özellikle yüksek performanslı grafik kartlarına sahip kullanıcıları, yani oyuncuları, donanım meraklılarını, yapay zeka kullanıcılarını ve hız aşırtma tutkunlarını hedefliyor. Saldırganlar, CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark, K-Lite Codec Pack ve PDFgear gibi sık kullanılan programları taklit ediyor. Kurbanlar, bu yazılımları geleneksel arama motorlarında veya bazen de yapay zeka sohbet robotu önerileri aracılığıyla ararken, saldırganların kontrolündeki indirme sayfalarına yönlendiriliyor ve zararlı ZIP arşivlerini indiriyor.
Microsoft'un analizine göre, saldırganların asıl amacı yüksek sayıda sistemi ele geçirmekten ziyade, karlı kripto para madenciliği için uygun, güçlü bağımsız GPU'lara sahip sistemleri ele geçirmek. Kötü amaçlı yazılım yüklendikten sonra, lolMiner, gminer ve SRBMiner-MULTI gibi GPU madenciliği yüklerini sessizce devreye sokuyor. Bu süreçte, aynı zamanda ScreenConnect adlı meşru bir uzaktan erişim yönetim aracını kullanarak kalıcı uzaktan erişim sağlıyor.
Saldırı zinciri, daha gelişmiş kötü amaçlı yazılım operasyonlarıyla ilişkilendirilen gizlilik tekniklerine büyük ölçüde dayanıyor. İndirilen arşivler, meşru yazılım yükleyicileriyle birlikte zararlı DLL dosyalarını barındırıyor. Bu DLL dosyaları, DLL sideloading tekniği ile otomatik olarak çalıştırılıyor. Ardından, kötü amaçlı yazılım altı farklı kalıcılık mekanizması oluşturuyor, Microsoft Defender'da dışlama kuralları ekliyor, sanal makineleri ve güvenlik analiz araçlarını kontrol ediyor ve MSBuild.exe, InstallUtil.exe ve RegAsm.exe gibi Microsoft tarafından imzalanmış meşru .NET araçlarının içine madencilik kodunu enjekte etmek için process hollowing tekniğini kullanıyor.
Bu kampanyanın en dikkat çekici yönlerinden biri ise, bazı zararlı alan adlarının yapay zeka sohbet robotlarıyla yapılan etkileşimler sonucunda ortaya çıkmış olabileceğine dair Microsoft'un gözlemleri. Rapora göre, büyük dil modelleri (LLM) tabanlı asistanlardan yazılım indirme önerileri isteyen kullanıcılar, bazı durumlarda üretilen yanıtlara eklenmiş saldırgan kontrolündeki alan adlarına yönlendirilmiş. Microsoft, bu durumun belirli bir yapay zeka hizmetinde sistematik bir sorun olduğunu göstermediğini vurgularken, bu tür faaliyetlerin yapay zeka destekli arama zehirlenmesi tekniklerinin yükselişini gösterdiğini belirtiyor.
Microsoft'un analizine göre, bu operasyon en azından Mart 2026'dan bu yana aktif durumda ve güvenilir yazılım indirme portalları gibi görünen 150'den fazla zararlı alan adını içeriyor. İndirmelerin çoğu, daha önce de kimlik avı ve kötü amaçlı yazılım kampanyalarında sıklıkla kullanılan Dynu dinamik DNS hizmetiyle bağlantılı altyapı olan gleeze.com'un alt alanlarında barındırılıyor.
İlk bulaşma süreci oldukça basit bir şekilde işliyor. Kurbanlar, hem meşru yazılım yürütülebilir dosyasını hem de autorun.dll adında zararlı bir DLL dosyasını içeren ZIP arşivlerini indiriyor. Meşru uygulama başlatıldığında, Windows otomatik olarak aynı dizindeki zararlı DLL dosyasını DLL sideloading aracılığıyla yüklüyor. Bu, herhangi bir yazılım açığı gerektirmeyen ve genellikle herhangi bir görsel belirti bırakmayan, uzun süredir var olan bir Windows kötüye kullanım tekniği.
Bu aşamadan sonra, kötü amaçlı yazılım sessizce ConnectWise Control olarak da bilinen meşru bir kurumsal uzaktan yönetim platformu olan ScreenConnect'i yüklüyor. Microsoft, ScreenConnect'in kendisinin zararlı olmadığını, ancak tehdit aktörleri tarafından, saldırganların güvenlik incelemelerinden kaçınmak için meşru uzaktan izleme ve yönetim (RMM) araçlarını giderek daha fazla kötüye kullanma şekline benzer bir şekilde kullanıldığını vurguluyor.
Uzaktan erişim sağlandıktan sonra, saldırganlar SimpleRunPE.exe adlı bir ikili dosya konuşlandırıyor. Microsoft, bu dosyanın GitHub'da halka açık olarak bulunan bir process hollowing konsept kanıt projesinden kısmen türetilmiş olabileceğini düşünüyor. Kötü amaçlı yazılım, kendini RuntimeHost.exe olarak gizli Windows dizinlerine kopyalıyor, kalıcılık için zamanlanmış görevler ve başlangıç girdileri oluşturuyor ve kullanıcılar veya yöneticiler kaldırmaya çalışsalar bile Microsoft Defender dışlamalarını tekrarlı olarak yeniden ekliyor.
Ayrıca, kötü amaçlı yazılım performans odaklı PC kullanıcıları tarafından tespit edilmekten kaçınacak şekilde özel olarak tasarlanmış görünüyor. Microsoft'a göre, madenci GPU kullanımını, sistem boşta kalma süresini, oyun etkinliğini ve akış iş yüklerini izliyor ve yoğun GPU etkinliği algılandığında madencilik işlemlerini durduruyor. Bu durum, muhtemelen ani kare hızı düşüşleri, aşırı ısınma veya GPU fanlarının sürekli yüksek sesle çalışması gibi kullanıcıyı bir ihlalden haberdar edebilecek belirgin uyarı işaretlerini azaltıyor.
Tespit edilmekten daha fazla kaçınmak için kötü amaçlı yazılım, etkinleşmeden önce kapsamlı anti-analiz kontrolleri gerçekleştiriyor. Yazılım, sanal makine kalıntıları, hata ayıklama araçları, tersine mühendislik platformları, paket analizörleri ve Wireshark, ProcMon, x64dbg, dnSpy, IDA ve Ghidra gibi adli analiz araçları için sistemleri tarıyor. Bu tür araçlardan herhangi biri tespit edilirse, kötü amaçlı yazılım kendini sonlandırıyor.
Microsoft, kötü amaçlı yazılım operatörlerinin nihayetinde ele geçirilen sistemleri, lolMiner, gminer ve SRBMiner-MULTI dahil olmak üzere GPU odaklı çeşitli kripto para madencilerinden birini devreye sokmak için kullandığını belirtiyor. Madencileri doğrudan kötü amaçlı yazılıma gömmek yerine, yük, kurban sistem üzerinde GPU modeli, CPU özellikleri, kurulu antivirüs yazılımı, bellek yapılandırması ve genel sistem etkinliği dahil olmak üzere kapsamlı keşifler yaptıktan sonra en uygun madencilik yazılımını dinamik olarak indiriyor.
Bu kampanya, saldırganların artık yalnızca arama motorlarını değil, aynı zamanda yapay zeka destekli keşif sistemlerini de hedef aldığını gösteren endişe verici bir gelişmeyi vurguluyor. Geleneksel SEO zehirlenmesi yıllardır var olsa da, yazılım önerileri için yapay zeka sohbet robotları ve LLM destekli asistanların artan kullanımı, kötü amaçlı sitelerin oluşturulan yanıtlar aracılığıyla ek görünürlük kazandığı yeni bir saldırı yüzeyi yaratıyor olabilir. Kullanıcıların ekstra dikkatli olması gerekiyor, çünkü görünüşte ikna edici web sitelerinden indirilen yüksek derecede tanıdık yardımcı programlar bile, özellikle resmi satıcı sayfaları yerine üçüncü taraf aynaları veya yapay zeka tarafından sağlanan bağlantılar aracılığıyla elde edildiğinde, gizli kötü amaçlı yazılım yükleri taşıyabilir.
