Siber güvenlik şirketi Check Point Research, 500 milyondan fazla aktif kullanıcıya sahip anlık mesajlaşma uygulaması Telegram’ın bir şirkette kötü amaçlı yazılımları uzaktan dağıtmak için bir sistem olarak kullanıldığı büyüyen bir siber tehdide karşı uyarıda bulunuyor. Check Point Research, son üç ayda Telegram aracılığıyla yönetilen kötü amaçlı yazılım kullanan 130’dan fazla siber saldırıyı izledikten sonra uyarı verildi. Sistem, Telegram kurulu olmasa veya kullanılmasa bile anlık mesajlaşma uygulaması aracılığıyla uzaktan komut göndermeye ve kötü amaçlı işlemler gerçekleştirmeye izin veriyor.
Kötü amaçlı yazılımları uzaktan dağıtmak için yeni bir siber suç “aracı” olan Telegram
Bulut tabanlı anlık mesajlaşma platformu Telegram, rakip WhatsApp’ın gizlilik ayarlarında yaptığı tartışmalı değişiklikler nedeniyle bu yıl popülaritesini artırdı. Ocak 2021’de 63 milyondan fazla yükleme ile dünya çapında en çok indirilen uygulama oldu ve aylık 500 milyon aktif kullanıcıyı aştı. Ancak bu büyük ün siber suçlular topluluğuna da uzanıyor. Kötü amaçlı yazılım yazarları, kötü amaçlı yazılımları web üzerinden dağıtmanın geleneksel yoluna kıyasla çeşitli avantajlar sunduğundan, Telegram’ı kötü amaçlı yazılımları için özel olarak hazırlanmış bir komut ve kontrol (C&C) sistemi olarak giderek daha fazla kullanıyor.
Siber suçlular, sunucusuyla iletişim kurarak ve kurbanın verilerini çıkararak Telegram aracılığıyla uzaktan erişimli bir Truva atı kullanır.
Check Point Research (CPR), «ToxicEye» adlı bir Uzaktan Erişim Truva Atı (RAT) kullanarak son üç ayda 130’dan fazla siber saldırıyı izledi. RAT, siber suçluya sistemler üzerinde tam uzaktan kontrol sağlayan bir tür kötü amaçlı yazılımdır. Siber suçlular, ToxicEye’ı Telegram aracılığıyla çalıştırarak sunucusuyla iletişim kurar ve kurbanın verilerini çıkarır. Son olarak, ToxicEye, kötü amaçlı bir .exe dosyası içeren kimlik avı e-postaları yoluyla yayılır. Alıcı ekli dosyayı açtığında, ToxicEye kendisini kurbanın bilgisayarına kurar ve kurbanın bilgisi olmadan bir dizi istismar gerçekleştirir.
Telegram RAT’ın Tehlikeleri
Bu yöntemi kullanan her RAT’ın kendi yetenekleri vardır, ancak CPR, gözlemlenen saldırıların çoğunu karakterize eden bir dizi anahtar yeteneği tanımlayabildi:
- · Veri hırsızlığı işlevi: RAT, parolaları, bilgisayar bilgilerini, tarayıcı geçmişini ve tanımlama bilgilerini bulabilir ve çalabilir.
- · Dosya sisteminin kontrolü: dosyaların silinmesi ve aktarılması yoluyla veya süreçleri sonlandırarak ve bilgisayarın görev yöneticisini kontrol ederek.
- · I/O ele geçirme: RAT, bir keylogger yerleştirebilir veya bilgisayarın mikrofonu ve kamerası aracılığıyla kurbanın ortamının ses ve videosunu kaydedebilir veya panonun içeriğini ele geçirebilir.
- · Fidye Yazılımı Özellikleri: Kurbanın dosyalarını şifreleme ve şifresini çözme yeteneği.
Bu kötü amaçlı yazılım nasıl yayılır?
1. Bir Telegram hesabının ve özel bir «Telegram» botunun oluşturulması. Telegram bot hesabı, kullanıcıların uygulamanın sohbetini kullanarak veya onları uygulamadaki gruplara ekleyerek veya botun kullanıcı adını ve bir sorguyu yazarak doğrudan giriş formundan istek göndererek etkileşimde bulunabilecekleri özel bir uzak hesaptır.
2. Bot (kimliği veya simgesi), ToxicEye RAT yapılandırma dosyasına dahil edilir ve yürütülebilir bir dosyada derlenir.
3. Kötü amaçlı yazılım, spam kampanyaları yoluyla bir e-posta eki olarak yayılır. CPR tarafından bulunan bir dosya adı örneği, ‘aziz.exe tarafından paypal denetleyicisi’ idi.
4. Kurban, Telegram’a bağlanan kötü amaçlı eki açar. Bu kötü niyetli yüke bulaşan herhangi bir kurban, kullanıcının cihazını uygulama aracılığıyla siber suçlunun C&C’sine bağlayan Telegram botu aracılığıyla saldırıya uğrayabilir.
5. Siber suçlu, kurbanın cihazının tam kontrolünü ele geçirir ve bir dizi kötü niyetli faaliyet gerçekleştirebilir.
Siber suçlular neden Telegram’a odaklanıyor?
CPR’nin en son araştırması, bu mesajlaşma hizmetinin dünya çapında artan kullanımıyla ilgili olarak Telegram tabanlı kötü amaçlı yazılımların popülaritesinde artan bir eğilimi ortaya koyuyor. Düzinelerce yeni Telegram tabanlı kötü amaçlı yazılım türü, GitHub depolarında bilgisayar korsanlığı aracı tehditleri olarak bulundu. Siber suçlular, operasyonunun sunduğu bir dizi avantaj nedeniyle, saldırılarını gerçekleştirmek için Telegram’da bütünleşik bir platform bulurlar, örneğin:
- Kilidi açıldı: Telegram, şirket antivirüs motorları veya ağ yönetim araçları tarafından engellenmeyen meşru, kullanımı kolay ve kararlı bir hizmettir.
- Anonimliği korur – Kayıt işlemi yalnızca bir cep telefonu numarası gerektirdiğinden siber suçlular anonim kalabilir.
- Kolay veri çıkarma: Telegram’ın benzersiz iletişim özellikleri, siber suçluların kurbanların bilgisayarlarından veri çekmesini veya yeni kötü amaçlı dosyaları virüslü sürücülere aktarmasını çok kolaylaştırır.
- Her yerden: Telegram, dünyanın hemen hemen her yerinden virüslü bilgisayarlara erişmek için mobil cihazların kullanılmasına da izin verir.
«Telegram’ın kurumsal ortamlarda yaygın olarak kullanılması gerçeğinden yararlanarak, güvenlik kısıtlamalarını aşabilecek siber saldırıları gerçekleştirmek için bu sistemi kullandıklarına inanıyoruz»
«Telegram platformunun, Telegram kurulu veya kullanılmamış olsa bile uzaktan komutlar ve işlemler alan şirketlerde kötü amaçlı yazılım dağıtmak için bir sistem olarak kullanıldığına dair büyüyen bir trend keşfettik. Siber suçluların bu sefer kullandığı kötü amaçlı yazılımların yeri belirlendi. Github gibi kolay erişilebilir yerlerde, Telegram’ın kurumsal ortamlarda yaygın olarak kullanılması gerçeğinden yararlandıklarına ve bu sistemi güvenlik kısıtlamalarını aşabilecek siber saldırıları gerçekleştirmek için kullandıklarına inanıyoruz» diye açıklıyor direktör Idan Sharabi Check Point Software Technologies’deki Ar-Ge grubunun üyesi. «Hem şirketlerden hem de Telegram kullanıcılarından kötü amaçlı e-postalara özellikle dikkat etmelerini ve konuyla ilgili kullanıcı adınızı içeren veya kafa karıştırıcı veya yanlış bir dil içeren e-postalara karşı daha dikkatli olmalarını istiyoruz. Bu uygulamadan bu yana için kullanılabilir kötü amaçlı dosyaları dağıtmak veya kötü amaçlı yazılımlar için uzaktan komuta ve kontrol kanalı olarak, bu platformdan yararlanan yeni siber saldırıların gelecekte de geliştirilmeye devam edeceğini umuyoruz.»
