Kaspersky Lab araştırmacıları, Telegram masaüstü uygulamasındaki sıfır gün açığından faydalanan yeni bir zararlı yazılım saldırısı keşfetti. Açık sayesinde yayılan çok amaçlı zararlı yazılım, bulaştığı bilgisayara göre bir arka kapı ya da madencilik aracı olarak kullanılabiliyor. Yapılan araştırmada, açığın Mart 2017’den beri Monero ve Zcash gibi kripto para birimlerinin madenciliği için kullanıldığı belirlendi.
Arkadaşlarımız ve ailemizle kolayca iletişim kurmamızı sağlayan sosyal mesajlaşma servisleri hayatımızın önemli birer parçası haline geldi. Bu servisler bir siber saldırıya uğradıklarında durum çok karışık bir hal alabiliyor. Örneğin, Kaspersky Lab’in geçtiğimiz ay hakkında bir araştırma raporu hazırladığı Skygofree adlı gelişmiş mobil zararlı yazılım, WhatsApp mesajlarını çalabiliyor. Yapılan en son araştırmada ise uzmanlar, başka bir popüler anlık mesajlaşma servisinin masaüstü sürümünde daha önce bilinmeyen bir açıktan faydalanan saldırılar tespit etti.
Araştırmaya göre, Telegram’daki sıfır gün açığı RLO (sağdan sola geçersiz kılma) Unicode yönteminden kaynaklanıyor. Bu yöntem daha çok, Arapça ve İbranice gibi sağdan sola yazılan kodlama dillerinde kullanılıyor. Bunun yanı sıra, zararlı yazılım geliştirenler bu yöntemle zararlı dosyaları görsel ya da benzer bir tür dosya şeklinde göstererek kullanıcıları kandırabiliyorlar.
Tespit edilen saldırılarda, saldırganlar dosya adında gizli bir Unicode karakteri kullanarak diğer karakterlerin sırasını ters çeviriyorlar ve böylece dosyanın adı değişmiş oluyor. Bunun sonucunda kullanıcılar gizlenmiş zararlı yazılımı bilgisayarlarına indirip kuruyorlar. Kaspersky Lab tespit ettiği bu açığı Telegram’a bildirdi. Yapılan bildiriden sonra mesajlaşma uygulamasında bu sıfır gün açığına bir daha rastlanmadı.
Yapılan analizler esnasında Kaspersky Lab uzmanları, saldırganların bu açıktan farklı şekillerde faydalanabildiklerini belirledi. Açık öncelikle madencilik yazılımı kurmak için kullanılıyor. Bu da kullanıcılara epey zarar verebiliyor. Kurbanların bilgisayarlarının işlem gücünü kullanan siber suçlular, aralarında Monero, Zcash, Fantomcoin’in de olduğu birçok farklı kripto para birimini üretiyorlar. Kaspersky Lab araştırmacıları saldırı sunucularını incelerken, kurbanlardan çalınan Telegram yerel ön belleklerini içeren arşivler de tespit etti.
Açıktan faydalanmayı başaran siber suçlular, Telegram API’sini komut ve kontrol protokolü olarak kullanan bir arka kapı da yükleyebiliyorlar. Böylece kurbanın bilgisayarına uzaktan erişim sağlanıyor. Kurulmasının ardından gizlice çalışmaya başlayan bu yazılım, saldırganın ağda fark edilmeden çeşitli komutlar çalıştırmasını sağlıyor. Bunların arasında başka casus yazılımların kurulması da var.
Araştırmada tespit edilen bazı deliller siber suçluların Rus olabileceğini gösteriyor
Kaspersky Lab Hedefli Saldırı Araştırması Zararlı Yazılım Analisti Alexey Firsh, “Anlık mesajlaşma uygulamaları inanılmaz derecede popüler. Bu nedenle, geliştiricilerin, kullanıcılarını suçlular için kolay hedefler haline getirmeyen, sağlam güvenlik önlemleri alması büyük önem taşıyor. Genel zararlı yazılım ve casus yazılım işlevlerinin yanı sıra bu sıfır gün açığının madencilik yazılımı kurmak gibi farklı amaçlarla da kullanıldığını tespit ettik. Bu tür saldırılar geçtiğimiz yıl da gördüğümüz gibi global bir eğilim haline geldi. Keşfedilen bu sıfır gün açığının daha farklı amaçlar için de kullanılabileceğine inanıyoruz” dedi.
Kaynak : 