Gemini’nin önerdiği sitede “robot olmadığımı” kanıtlarken hacklendim

• Gemini ile sohbet ederken önerilen bir siteye girdim
• Robot olmadığımı doğrulamak için tıklandığında, kötü amaçlı komut önceden panoya kopyalanıyor ve ardından insan olduğumu doğrulamak için terminali açıp yapıştırmam ve Enter’a basmam isteniyor.
• Çalıştırıldığında curl | bash biçiminde ek bir script indirip çalıştırıyor
• Mac LaunchAgents içine kaydolup yeniden başlatma/giriş sonrasında da kalıcı olarak çalışıyor
• Uzak sunucudan AppleScript indirip çalıştırıyor; bilgi toplama ve yetki yükseltme denemesi yapıyor

Bu olayda:

• Yönetici parolası girilmediği için yetki yükseltme başarısız oldu
• Ancak kullanıcı yetkisi kapsamındaki bilgilere erişim/toplama kısmen gerçekleşmiş olabilir

Müdahale:

• Ağı hemen kesin
• ~/Library/LaunchAgents altındaki kötü amaçlı plist dosyasını kaldırın
• Çalışan süreçleri sonlandırın
• Tarayıcıdaki tüm oturumlardan çıkış yapıp yeniden giriş yapın (çerezleri geçersiz kılın)
• SSH anahtarlarını değiştirin

Dersler:

• Bir web sayfası “doğrulama/kimlik doğrulama” gerekçesiyle yerel komut çalıştırmanızı istiyorsa şüphelenmelisiniz
• Yapay zekanın önerdiği sitelere de şüpheyle yaklaşmalısınız
• Özellikle terminal/çalıştır penceresi/PowerShell açtırıp yapıştırma yaptırıyorsa, bu neredeyse tam olarak bu kalıptır
• Yönetici parolası istemesine karşı şüpheci olmak en önemli alışkanlık ve son savunma hattıdır

Ayrıntılı analiz, gerçek komutlar ve müdahale süreci için asıl yazıya bakın

https://mytory.net/archives/18591