Söz konusu saldırılar hesap kimlik bilgilerini çalmayı ve cihazları tehlikeye atmayı amaçlıyor. Dolandırıcılar, Telegram Premium’un popülerliğinden ve hediye verme özelliğinden yararlanarak kullanıcıları ağına düşürmeyi hedefliyor. Bu duruma karşı dikkatli olmak gerekiyor.

Telegram Premium daha yüksek indirme hızları, sesten metne dönüştürme, premium çıkartmalar, reklamsız deneyim ve daha fazla özellikler sunan bir abonelik modeli. Kullanıcılar bu aboneliği hediye edebiliyor. Dolandırıcılar da bu hediye özelliğinden ve genel olarak Telegram Premium’a olan ilgiden yararlanıyor.

Kutlamaların başladığı, hediye beklentisinin arttığı yeni yıl tatil sezonunda, bu gibi tuzaklara düşmemek için dikkatli olmak büyük önem taşıyor.

Sıkça başvurulan hilelerden biri, kullanıcının kişi listesinde bulunan ve hesabı ele geçirilmiş olabilecek birinden gelmiş gibi görünen mesajlar almasıyla başlıyor. Mesajda yaklaşık şöyle bir şey yazıyor: “Size bir Telegram Premium aboneliği hediye olarak gönderildi”. Mesajın altında meşru görünen, ancak aslında kullanıcıyı kimlik avı sayfasına yönlendiren ve Telegram’da oturum açmalarını isteyen bir bağlantı yer alıyor. Mağdurlar kodu tararsa veya kimlik bilgilerini girerse, hesapları hemen ele geçiriliyor ve dolandırıcılar giriş bilgilerine, şifrelerine ve kaydettikleri kimlik doğrulama kodlarına erişim sağlıyor.

Telegram Premium temasına atıfta bulunan başka hileler de var. Üstelik bunların hepsinin Telegram mesajlarıyla başlaması da gerekmiyor. Saldırganlar kimlik avı bağlantıları göndermek için e-posta gibi başka yöntemlere de başvurabiliyor.

Örneğin saldırganlar Telegram Premium abonelikleri için sahte “eşantiyonlar” hazırlıyor. Mağdurlardan bu eşantiyonu almak için Telegram hesap kimlik bilgilerini girmeleri isteniyor ve kimlik avı sitesine yönlendiriliyor. Sonuçta kullanıcı kendinden istenenleri yaparsa, hesapları ele geçiriliyor.

Telegram Premium vaadini istismar eden bir kimlik avı örneği

Bir başka yöntem de siber suçluların hedefledikleri kişilere mesajlaşma hizmetinin “Premium” abonelik tanımlanmış bir sürümünü içerdiğini iddia eden bir ZIP arşivini indirmeleri için davet göndermeleriyle başlıyor. İndirme bağlantısı kullanıcıları bir kez daha Telegram’da oturum açmalarının istendiği bir kimlik avı sayfasına yönlendiriyor.

Telegram Premium teklifi olarak gizlenmiş kimlik avı örneği

Bir başka dolandırıcılık tekniği Telegram uygulamasının “yerleşik” Premium aboneliğe sahip alternatif bir sürümü olarak gizlenmiş kötü amaçlı yazılımların dağıtılmasını içeriyor. Dolandırıcılar, kurbanlara uygulamanın değiştirilmiş sürümleri olduğunu iddia ettikleri APK dosyalarını indirmeleri için bağlantılar gönderiyor. Ancak bunların kötü amaçlı yazılım olduğu ortaya çıkıyor.

Premium aboneliğe sahip Telegram uygulaması kılığında kötü amaçlı yazılım dağıtan bir sayfa örneği

Kaspersky Güvenlik Uzmanı Olga Svistunova, şunları söylüyor: “Kullanıcıların Telegram Premium beklentisinden yararlanan kimlik avı saldırılarını çeşitli dillerde gözlemliyoruz. Bu da faillerin küresel olarak faaliyet gösterdiğine işaret ediyor. Bu dolandırıcılıklar henüz belirli bir bölgeye ulaşmamış olsa bile, eninde sonunda oraya ulaşma olasılığı var. Bu nedenle tatil sezonunda, gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli ve şüpheci kalmak özellikle önemli. Ayrıca Telegram güvenlik ve gizlilik ayarlarınızın güncel olduğundan ve cihazınızın sağlam bir güvenlik çözümüne sahip olduğundan emin olun.”

Dolandırıcılar taktiklerini sürekli geliştiriyor ve her gün yeni yöntemlerle ortaya çıkıyor. Kendinizi bu tehditlerden korumak için Kaspersky uzmanlarının paylaştığı aşağıdaki ipuçlarını dikkate alın:

• Telegram güvenliği ve gizlilik ipuçlarına yönelik Kaspersky kılavuzuna göz atın.
• Bağlantılarda gömülü gerçek adresler de dahil olmak üzere bağlantıları tıklamadan önce iki kez kontrol edin. Bazı durumlarda Kaspersky, t.me/premium gibi meşru görünen bağlantıların, bu harflerin arkasında tamamen farklı kimlik avı sayfalarına yönlendiren başka bir adrese yönlendirdiğini gördü. Gerçek bağlantıyı kontrol etmek için fare imlecini bağlantının üzerinde tutun.
• Kişilerden gelen bağlantıları doğrulayın. Gelen hediye bağlantısı şüpheli görünüyorsa, alternatif bir iletişim kanalı aracılığıyla gönderene sorup onaylayın.
• Aboneliklerinizi resmi kanallar üzerinden satın alın. Örneğin, Telegram Premium abonelikleri satın almak için özel bir bot sunar.
• İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Bu, hesabınızın kimlik bilgileri tehlikeye girmiş olsa bile son savunma hattı olarak görev yapar. 2FA belirteçleri Kaspersky Password Manager ile rahatlıkla saklanabilir.
• Siber suçluların Telegram hesaplarını çalmak için kullandığı diğer yöntemleri inceleyin. Bu dolandırıcılık tekniklerini ortaya çıkmadan önce anlamak, siber hijyeni iyileştirmek ve potansiyel tehditlerin farkında olmak adına çok önemlidir.
• Resmi olmayan uygulama sürümlerini indirmekten kaçının. Kaspersky, resmi olmayan uygulamalar çeşitli zararlı yazılım türleriyle yüklü olabileceğinden resmi uygulamalara bağlı kalmanızı önerir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kampanyanın, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan kötü niyetli bir kiralık hack APT (Gelişmiş Kalıcı Tehdit) grubu olan DeathStalker ile bağlantılı olduğuna inanılıyor. Kaspersky tarafından gözlemlenen son saldırı dalgasında, tehdit aktörleri kurbanlara bilgi çalmak ve failler tarafından kontrol edilen bir sunucudan uzaktan komutlar yürütmek için tasarlanmış bir uzaktan erişim Truva Atı (RAT) olan DarkMe kötü amaçlı yazılımını bulaştırmaya çalıştı.

Kampanyanın arkasındaki tehdit aktörleri, ticaret ve fintech sektörlerindeki kurbanları hedef almış gibi görünüyor. Teknik göstergeler kötü amaçlı yazılımın muhtemelen bu konulara odaklanan Telegram kanalları aracılığıyla dağıtıldığını gösteriyor. Kaspersky, Avrupa, Asya, Latin Amerika ve Orta Doğu’da 20’den fazla ülkede saldırılar tespit etti, dolayısıyla tehdidin küresel boyutta olduğuna inanılıyor.

Bulaşma zinciri analizi, saldırganların büyük olasılıkla Telegram kanallarındaki gönderilere kötü amaçlı arşivler eklediğini ortaya koyuyor.  RAR veya ZIP dosyaları gibi arşivlerin kendileri kötü niyetli değil, ancak .LNK, .com ve .cmd gibi uzantılara sahip zararlı dosyalar içeriyorlar. Hedeflenen kişiler bu dosyaları çalıştırırsa, bir dizi eylemin ardından son aşama olan kötü amaçlı yazılım DarkMe’nin yüklenmesine yol açıyorlar.

GReAT Baş Güvenlik Araştırmacısı Maher Yamout, şunları söylüyor: “Bu tehditte tehdit aktörleri geleneksel kimlik avı yöntemlerini kullanmak yerine, tehdit aktörleri kötü amaçlı yazılımı iletmek için Telegram kanallarını kullanıyor. Daha önceki kampanyalarda, operasyonun Skype gibi diğer mesajlaşma platformlarını da ilk bulaşma için bir vektör olarak kullandığını gözlemledik. Bu yöntem, potansiyel kurbanların gönderene güvenmeye ve zararlı dosyayı açmaya, dolayısıyla kimlik avı web sitesine kıyasla daha meyilli olmasına neden olabilir. Ayrıca, mesajlaşma uygulamaları aracılığıyla dosya indirmek, standart internet indirmelerine kıyasla daha az güvenlik uyarısı tetikleyebilir. Bu da tehdit aktörleri için elverişlidir. Genellikle şüpheli e-postalara ve bağlantılara karşı dikkatli olunmasını tavsiye etsek de, bu kampanya Skype ve Telegram gibi anlık mesajlaşma uygulamalarında bile dikkatli olunması gerektiğinin altını çiziyor.”

Saldırganlar kötü amaçlı yazılım dağıtmak için Telegram’ı kullanmanın yanı sıra, operasyonel güvenliklerini ve ele geçirme sonrası temizlik süreçlerini de geliştirdiler. Kurulumdan sonra kötü amaçlı yazılım DarkMe implantını dağıtmak için kullanılan dosyaları kaldırdı. Analizi engellemek ve tespit edilmekten kaçınmak için failler, hedeflerine ulaştıktan sonra implantın dosya boyutunu artırdı ve istismar sonrası dosyalar, araçlar ve kayıt defteri anahtarları gibi diğer ayak izlerini de sildi.

Daha önce Deceptikons olarak bilinen Deathstalker, en az 2018’den ve potansiyel olarak 2012’den beri aktif olan bir tehdit aktörü grubu olarak faaliyet gösteriyor. Tehdit aktörünün şirket içi araç setleri geliştiren ve gelişmiş kalıcı tehdit ekosistemini anlayan yetkin üyelere sahip olduğu görülen bir siber paralı asker veya kiralık hacker grubu olduğuna inanılıyor. Grubun birincil hedefi, muhtemelen müşterilerine hizmet eden rekabet veya iş istihbaratı amaçları için ticari, finansal ve özel kişisel bilgileri ele geçirmek. Genellikle küçük ve orta ölçekli işletmeleri, finans, fintech, hukuk firmalarını ve birkaç kez de kamu kurumlarını hedef aldıkları gözlemlendi. Bu tür hedeflerin peşinden gitmesine rağmen, DeathStalker’ın para çaldığı hiç görülmedi. Bu yüzden Kaspersky bunun özel bir istihbarat birimi işi olduğuna inanıyor.

Grubun ayrıca diğer APT aktörlerini taklit ederek ve sahte bayraklar kullanarak faaliyetlerinin ilişkilendirilmesinden kaçınmaya çalışmak gibi ilginç bir eğilimi mevcut.

Kaspersky, kişisel güvenlik için aşağıdaki önlemleri öneriyor:

• Güvenilir bir güvenlik çözümü yükleyin ve tavsiyelerine uyun. Güvenlik çözümleri sorunların çoğunu otomatik olarak çözecek ve gerekirse sizi uyaracaktır.
• Yeni siber saldırı teknikleri hakkında bilgi sahibi olmak, bunları fark etmenize ve bunlardan kaçınmanıza yardımcı olabilir. Güvenlik blogları yepyeni tehditleri takip etmenize yardımcı olacaktır.

Kaspersky güvenlik uzmanları, gelişmiş tehditlere karşı korunmak için kurumlara şunları tavsiye ediyor:

• InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, onlara tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlayacak ve siber riskleri zamanında tespit etmelerine yardımcı olacaktır.
• Personelinizi en son bilgilerle güncel tutmak için ek siber güvenlik kurslarına yatırım yapın. Pratik odaklı Kaspersky Expert eğitimi ile InfoSec uzmanlarınız zorlu becerilerini geliştirebilir ve şirketlerini karmaşık saldırılara karşı savunabilir. En uygun formatı seçebilir ve kendi kendine rehberli, çevrimiçi kursları veya eğitmen liderliğindeki canlı kursları takip edebilirsiniz.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın. Mevcut ihtiyaçlarınıza ve mevcut kaynaklarınıza bağlı olarak, en uygun ürün katmanını seçebilir ve siber güvenlik gereksinimleriniz değişirse kolayca başka bir ürüne geçebilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı