- Gemini ile sohbet ederken önerilen bir siteye girdim
- Robot olmadığımı doğrulamak için tıklandığında, kötü amaçlı komut önceden panoya kopyalanıyor ve ardından insan olduğumu doğrulamak için terminali açıp yapıştırmam ve Enter’a basmam isteniyor.
- Çalıştırıldığında
curl | bashbiçiminde ek bir script indirip çalıştırıyor - Mac
LaunchAgentsiçine kaydolup yeniden başlatma/giriş sonrasında da kalıcı olarak çalışıyor - Uzak sunucudan AppleScript indirip çalıştırıyor; bilgi toplama ve yetki yükseltme denemesi yapıyor
Bu olayda:
- Yönetici parolası girilmediği için yetki yükseltme başarısız oldu
- Ancak kullanıcı yetkisi kapsamındaki bilgilere erişim/toplama kısmen gerçekleşmiş olabilir
Müdahale:
- Ağı hemen kesin
~/Library/LaunchAgentsaltındaki kötü amaçlı plist dosyasını kaldırın- Çalışan süreçleri sonlandırın
- Tarayıcıdaki tüm oturumlardan çıkış yapıp yeniden giriş yapın (çerezleri geçersiz kılın)
- SSH anahtarlarını değiştirin
Dersler:
- Bir web sayfası “doğrulama/kimlik doğrulama” gerekçesiyle yerel komut çalıştırmanızı istiyorsa şüphelenmelisiniz
- Yapay zekanın önerdiği sitelere de şüpheyle yaklaşmalısınız
- Özellikle terminal/çalıştır penceresi/PowerShell açtırıp yapıştırma yaptırıyorsa, bu neredeyse tam olarak bu kalıptır
- Yönetici parolası istemesine karşı şüpheci olmak en önemli alışkanlık ve son savunma hattıdır
Ayrıntılı analiz, gerçek komutlar ve müdahale süreci için asıl yazıya bakın
Henüz yorum yok.