Microsoft Defender ekibi, 26 Mayıs 2026’da yayımladığı ayrıntılı raporda, arama sonuçlarını ve bazı durumlarda yapay zekâ sohbet botu yanıtlarını manipüle ederek kripto madenciliği yapan yazılımlar dağıtan aktif bir kampanya tespit etti. Saldırganlar CrystalDiskInfo’nun, HWMonitor’un, Display Driver Uninstaller (DDU)’nun, FurMark’ın, K‑Lite Codec Pack’in ve PDFgear’in sahte indirme sitelerini kurup üst seviye GPU’lara sahip kullanıcıları hedef alıyor. Microsoft, Mart 2026’dan bu yana bu zincire bağlı 150’den fazla kötü amaçlı alan adı gördüğünü belirtiyor.
Nasıl bulaşıyor?
Kurgu basit ama etkili: Kullanıcı sahte siteye girip aradığı aracı indiriyor. ZIP içinden çıkan yasal EXE, aynı klasördeki autorun.dll adlı zararlı dosyayı “DLL sideloading” tekniğiyle yüklüyor. Ardından msiexec üzerinden ScreenConnect’in sessiz kurulumu tetikleniyor; böylece saldırgan sisteme kalıcı uzaktan erişim kazanıyor. Devamında indirilen SimpleRunPE benzeri bileşenler, Microsoft imzalı .NET yardımcı programlarının içine gizlenerek madenciyi çalıştırıyor ve Windows Defender hariç listelerine istisnalar ekleniyor.
Kurulum tamamlandığında makineye GPU odaklı madenciler bırakılıyor. Microsoft’un bulgularını özetleyen bağımsız raporlarda örnek olarak lolMiner, GMiner ve SRBMiner‑MULTI sayılıyor. Hedef seçimi de bilinçli: Oyuncular, hız aşırtma meraklıları ve yapay zekâ uygulamaları için güçlü ekran kartı kullananlar daha kârlı hedefler.
Neden AI sohbet botları devrede?
Microsoft, bazı vakalarda kullanıcıların yazılım indirirken sohbet botlarının önerdiği bağlantılara tıklamasıyla kötü niyetli alan adlarına yönlendirildiğini gözlemledi. Bu durum, arama motoru zehirlemenin LLM tabanlı asistanlara doğru kaydığı yeni bir yüzünü gösteriyor. Microsoft’un ayrı bir analizinde “AI öneri zehirleme” (AI recommendation poisoning) adı verilen eğilimin, asistanların hafızasını yanıltarak sahte kaynakları öne çıkarabildiği vurgulanıyor.
Ne yapmalı?
- Yardımcı araçları yalnızca geliştiricinin resmi sitesinden indirin; arama reklamlarına veya doğrulanmamış sohbet botu linklerine tıklamayın.
- Microsoft Defender’da bulut tabanlı korumayı, ağ/web korumasını ve mümkünse attack surface reduction kurallarını etkinleştirin; SmartScreen açık olsun.
- Windows’ta Potansiyel İstenmeyen Uygulamalar (PUA) korumasını açın ve düzenli tam tarama yapın.
- Bilgisayarınızda tanımadığınız bir ScreenConnect istemcisi görürseniz kaldırın ve oturumlarınızı gözden geçirin.
Kısacası, popüler yardımcı araçları ararken ilk gördüğünüz sonuca ya da bir sohbet botunun önerisine güvenmeyin. Adresi kendiniz yazın, indirme sayfasını dikkatle kontrol edin ve güvenlik özelliklerini kapatmayın. Bu kampanya, “uygun görünen” tek bir tıklamanın hem gizli madencilik hem de kalıcı uzaktan erişim riski doğurabildiğini gösteriyor.
Kaynak: www.techspot.com