Siber saldırganların son hedefi mesajlaşma yazılımı Telegram oldu

Son zamanlarda en çok kullanılan mesajlaşma yazılımlarından biri haline gelen Telegram’da bir açık tespit edildi. Telegram’ın sadece Windows sürümünde çalışan ve Kaspersky uzmanları tarafından tespit edilen sıfır gün açığı, siber saldırganların kullanıcılarının bilgisayarını kullanarak Zcash ve Monero gibi kripto para birimlerini üretmelerini sağlıyor. Telegram’daki sıfır gün açığı RLO (sağdan sola geçersiz kılma) Unicode yönteminden kaynaklanıyor. Bu yöntem daha çok, Arapça ve İbranice gibi sağdan sola yazılan kodlama dillerinde kullanılıyor. Bunun yanı sıra, zararlı yazılım geliştirenler bu yöntemle zararlı dosyaları görsel ya da benzer bir tür dosya şeklinde göstererek kullanıcıları kandırabiliyorlar.

Unicode karakterleri kullanıyor

Tespit edilen saldırılarda, saldırganlar dosya adında gizli bir Unicode karakteri kullanarak diğer karakterlerin sırasını ters çeviriyorlar ve böylece dosyanın adı değişmiş oluyor. Bunun sonucunda kullanıcılar gizlenmiş zararlı yazılımı bilgisayarlarına indirip kuruyorlar. Tespit edilen açık Telegram’a bildirildi ve bir daha bu açığa rastlanmadı.

Yapılan analizler esnasında saldırganların bu açıktan farklı şekillerde faydalanabildiklerini belirlendi. Açık öncelikle madencilik yazılımı kurmak için kullanılıyor. Kurbanların bilgisayarlarının işlem gücünü kullanan siber saldırganlar, aralarında Monero, Zcash, Fantomcoin’in de olduğu birçok farklı kripto para birimini üretiyorlar. Araştırmacılar, saldırı sunucularını incelerken, kurbanlardan çalınan Telegram yerel ön belleklerini içeren arşivler de tespit etti.

Açıktan faydalanmayı başaran siber saldırganlar, Telegram API’sini komut ve kontrol protokolü olarak kullanan bir arka kapı da yükleyebiliyorlar. Böylece kurbanın bilgisayarına uzaktan erişim sağlanıyor. Kurulmasının ardından gizlice çalışmaya başlayan bu yazılım, saldırganın ağda fark edilmeden çeşitli komutlar çalıştırmasını sağlıyor. Bunların arasında başka casus yazılımların kurulması da var.

Kaspersky Lab Hedefli Saldırı Araştırması Zararlı Yazılım Analisti Alexey Firsh, “Anlık mesajlaşma uygulamaları inanılmaz derecede popüler. Bu nedenle, geliştiricilerin, kullanıcılarını suçlular için kolay hedefler haline getirmeyen, sağlam güvenlik önlemleri alması büyük önem taşıyor. Genel zararlı yazılım ve casus yazılım işlevlerinin yanı sıra bu sıfır gün açığının madencilik yazılımı kurmak gibi farklı amaçlarla da kullanıldığını tespit ettik. Bu tür saldırılar geçtiğimiz yıl da gördüğümüz gibi global bir eğilim haline geldi. Keşfedilen bu sıfır gün açığının daha farklı amaçlar için de kullanılabileceğine inanıyoruz” dedi.

Bilgisayarınıza bu tür zararlı yazılımların bulaşmasını engellemeniz için uzmanlar şunları tavsiye ediyor:

• Güvenmediğiniz kaynaklardan bilinmeyen dosyalar indirip açmayın.
• Anlık mesajlaşma uygulamalarında hassas kişisel bilgilerinizi paylaşmaktan kaçının.
• Sizi zararlı madencilik yazılımları da dâhil olmak üzere tüm olası tehditlere karşı koruyacak güvenilir bir güvenlik çözümü kullanın.