Siber Suçlular "Sıfır Gün" Açığından Faydalandılar

Siber suçlular, Telegram'daki açığı yaymak için zararlı bir yazılım kullandı.

Arkadaşlarımız ve ailemizle kolayca iletişim kurmamızı sağlayan sosyal mesajlaşma servisleri hayatımızın önemli birer parçası haline geldi. Bu servisler bir siber saldırıya uğradıklarında durum çok karışık bir hal alabiliyor. Örneğin, Kaspersky Lab'in geçtiğimiz ay hakkında bir araştırma raporu hazırladığı Skygofree adlı gelişmiş mobil zararlı yazılım, WhatsApp mesajlarını çalabiliyor. Yapılan en son araştırmada ise uzmanlar, başka bir popüler anlık mesajlaşma servisinin masaüstü sürümünde daha önce bilinmeyen bir açıktan faydalanan saldırılar tespit etti.

Araştırmaya göre, Telegram'daki sıfır gün açığı RLO (sağdan sola geçersiz kılma) Unicode yönteminden kaynaklanıyor. Bu yöntem daha çok, Arapça ve İbranice gibisağdan sola yazılan kodlama dillerinde kullanılıyor. Bunun yanı sıra, zararlı yazılım geliştirenler bu yöntemle zararlı dosyaları görsel ya da benzer bir tür dosya şeklinde göstererek kullanıcıları kandırabiliyorlar.

Tespit edilen saldırılarda, saldırganlar dosya adında gizli bir Unicode karakteri kullanarak diğer karakterlerin sırasını ters çeviriyorlar ve böylece dosyanın adı değişmiş oluyor. Bunun sonucunda kullanıcılar gizlenmiş zararlı yazılımı bilgisayarlarına indirip kuruyorlar. Kaspersky Lab tespit ettiği bu açığı Telegram'a bildirdi. Yapılan bildiriden sonra mesajlaşma uygulamasında bu sıfır gün açığına bir daha rastlanmadı.

Yapılan analizler esnasında Kaspersky Lab uzmanları, saldırganların bu açıktan farklı şekillerde faydalanabildiklerini belirledi. Açık öncelikle madencilik yazılımı kurmak için kullanılıyor. Bu da kullanıcılara epey zarar verebiliyor. Kurbanların bilgisayarlarının işlem gücünü kullanan siber suçlular, aralarında Monero, Zcash, Fantomcoin'in de olduğu birçok farklı kripto para birimini üretiyorlar. Kaspersky Lab araştırmacıları saldırı sunucularını incelerken, kurbanlardan çalınan Telegram yerel ön belleklerini içeren arşivler de tespit etti.

Açıktan faydalanmayı başaran siber suçlular, Telegram API'sini komut ve kontrol protokolü olarak kullanan bir arka kapı da yükleyebiliyorlar. Böylece kurbanın bilgisayarına uzaktan erişim sağlanıyor. Kurulmasının ardından gizlice çalışmaya başlayan bu yazılım, saldırganın ağda fark edilmeden çeşitli komutlar çalıştırmasını sağlıyor. Bunların arasında başka casus yazılımların kurulması da var.

Araştırmada tespit edilen bazı deliller siber suçluların Rus olabileceğini gösteriyor.

Kaspersky Lab Hedefli Saldırı Araştırması Zararlı Yazılım Analisti Alexey Firsh, "Anlık mesajlaşma uygulamaları inanılmaz derecede popüler. Bu nedenle, geliştiricilerin, kullanıcılarını suçlular için kolay hedefler haline getirmeyen, sağlam güvenlik önlemleri alması büyük önem taşıyor. Genel zararlı yazılım ve casus yazılım işlevlerinin yanı sıra bu sıfır gün açığının madencilik yazılımı kurmak gibi farklı amaçlarla da kullanıldığını tespit ettik. Bu tür saldırılar geçtiğimiz yıl da gördüğümüz gibi global bir eğilim haline geldi. Keşfedilen bu sıfır gün açığının daha farklı amaçlar için de kullanılabileceğine inanıyoruz," dedi.

Kaspersky Lab ürünleri, keşfedilen açıktan yararlanan yöntemleri tespit edip engelleyebiliyor. Bilgisayarınıza bu tür zararlı yazılımların bulaşmasını engellemeniz için Kaspersky Lab şunları tavsiye ediyor:

  • Güvenmediğiniz kaynaklardan bilinmeyen dosyalar indirip açmayın.
  • Anlık mesajlaşma uygulamalarında hassas kişisel bilgilerinizi paylaşmaktan kaçının.
  • Sizi zararlı madencilik yazılımları da dâhil olmak üzere tüm olası tehditlere karşı koruyacak, Kaspersky Internet Security veya Kaspersky Free gibi güvenilir bir güvenlik çözümü kullanın.
Sonraki Haber

Forum