Yapay Zeka Destekli Chatbotlar Kripto Madencilik Yazılımı Yönlendirmeleriyle Tehlike Saçıyor

Anasayfa » Yapay Zeka Destekli Chatbotlar Kripto Madencilik Yazılımı Yönlendirmeleriyle Tehlike Saçıyor
APT, Siber Tehditler, Zararlı Yazılımlar
Mayıs 27, 2026Mayıs 27, 2026Tarafından Cybernews.TR
0
Yapay Zeka Destekli Chatbotlar Kripto Madencilik Yazılımı Yönlendirmeleriyle Tehlike Saçıyor

Son raporlar, yapay zeka tabanlı sohbet botlarının kullanıcıları kripto madencilik amaçlı zararlı yazılım barındıran sitelere yönlendirdiğini ortaya koyuyor. Bu saldırı yöntemi, özellikle yüksek performanslı GPU sahibi kullanıcıları hedef alarak sistem kaynaklarını kötüye kullanmayı amaçlıyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırı, kullanıcıların CrystalDiskInfo, HWMonitor, FurMark gibi yaygın sistem ve donanım izleme araçlarını aramasıyla başlıyor. Arama motoru optimizasyonu (SEO) zehirlenmesi ve yapay zeka destekli sohbet botları üzerinden yönlendirmelerle, kullanıcılar kötü amaçlı yazılım içeren sahte indirme sitelerine çekiliyor. Bu siteler, Dynu gibi dinamik DNS hizmetleri üzerinden yönetilen 150’den fazla zararlı alan adı barındırıyor.

İndirilen ZIP dosyası, meşru bir yürütülebilir dosya ile birlikte “autorun.dll” adlı kötü amaçlı bir DLL içeriyor. Bu DLL, “msiexec.exe” aracılığıyla ScreenConnect adlı uzaktan erişim yazılımının kurulumunu gerçekleştiriyor. ScreenConnect kurulduktan sonra, saldırganın kontrolündeki sunucu ile bağlantı kuruluyor ve “SimpleRunPE.exe” adlı yürütülebilir dosya çalıştırılıyor. Bu dosya, kayıt defteri anahtarları ve zamanlanmış görevler aracılığıyla kalıcılık sağlıyor, Microsoft Defender hariç tutmaları yapılandırıyor ve işlem boşaltma (process hollowing) yöntemiyle madencilik kodunu güvenilir bir Microsoft imzalı dosya altında çalıştırıyor.

Madencilik yazılımı olarak gminer, lolMiner ve SRBMiner-MULTI destekleniyor. Ayrıca, sistemde çalışan bazı analiz ve yönetim araçları tespit edilirse madencilik işlemi otomatik olarak sonlandırılıyor. Bu yöntem, saldırganların tespit edilmeden yüksek verimle kripto madenciliği yapmasına olanak tanıyor.

Hedef Kitle ve Riskler

Özellikle yüksek performanslı grafik işlem birimlerine (GPU) sahip kullanıcılar hedefleniyor. Ancak saldırganlar sadece finansal kazanç peşinde değil; ScreenConnect üzerinden kalıcı uzaktan erişim sağlanarak veri hırsızlığı, yatay hareketlilik ve fidye yazılımı gibi sonraki saldırı adımları için zemin hazırlanıyor.

Kurumsal Ortamlarda Olası Senaryolar

Benzer teknikler, internet erişimli ağ cihazlarının ve Linux sunucuların ele geçirilmesinde de gözlemlendi. Örneğin, bir F5 BIG-IP güvenlik duvarı cihazının istismarıyla başlayan saldırı, iç ağdaki Atlassian Confluence sunucusuna sızma girişimleri ve Kerberos röle saldırıları ile devam etti. Bu tür saldırılar, üçüncü taraf hizmet sağlayıcıların ve entegre yönetim araçlarının kötüye kullanılmasıyla uzun süreli ve gizli erişim sağlama amacı taşıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Yüksek performanslı GPU kullanan sistemlerde anormal ağ trafiği ve işlemci kullanımını izleyin.
  • EDR çözümlerinde process hollowing ve DLL sideloading gibi teknikler için özel tespit kuralları oluşturun.
  • ScreenConnect ve benzeri uzaktan erişim araçlarının kurulum ve kullanımını sıkı şekilde denetleyin.
  • Arama motoru sonuçları ve yapay zeka tabanlı araçlardan gelen yazılım önerilerini doğrulamadan indirme yapmayın.
  • Microsoft Defender ve benzeri antivirüs programlarında özel hariç tutma ayarlarının yetkisiz değişikliklerini takip edin.
  • Güvenlik duvarı ve DNS kayıtlarını düzenli olarak inceleyerek şüpheli alan adlarını engelleyin.
  • Üçüncü taraf servis sağlayıcıların erişimlerini ve kimlik doğrulama süreçlerini sıkılaştırın, çok faktörlü kimlik doğrulamayı zorunlu kılın.
  • Olay müdahale süreçlerinde yapay zeka destekli saldırı tekniklerini göz önünde bulundurun ve eğitimler düzenleyin.

Teknik Özet

  • Kullanılan zararlılar: gminer, lolMiner, SRBMiner-MULTI madencileri, ScreenConnect, SimpleRunPE.exe
  • Hedeflenen kullanıcılar: Yüksek performanslı GPU sahipleri, kurumsal ve bireysel sistemler
  • Kullanılan teknikler: SEO zehirlenmesi, yapay zeka sohbet botları aracılığıyla yönlendirme, DLL sideloading, process hollowing, kalıcılık için kayıt defteri ve zamanlanmış görevler
  • İstismar edilen protokoller ve araçlar: ScreenConnect uzaktan erişim, PowerShell scriptleri, dinamik DNS (Dynu)
  • Önerilen savunma yöntemleri: Güncel antivirüs ve EDR kullanımı, ağ segmentasyonu, MFA, düzenli log analizi ve güvenlik duvarı kuralları
, , , , , ,