Kaspersky, Fintech Kullanıcılarını Hedef Alan Kötü Amaçlı Küresel Telegram Kampanyasını Ortaya Çıkardı
Kaspersky, Fintech Kullanıcılarını Hedef Alan Kötü Amaçlı Küresel Telegram Kampanyasını Ortaya Çıkardı
Kaspersky Global Araştırma ve Analiz ekibi (GReAT) araştırmacıları, saldırganların Telegram'ı kullanarak Truva atı niteliğinde casus yazılım dağıttığı ve potansiyel olarak Avrupa, Asya, Latin Amerika ve Orta Doğu'daki birçok ülkede fintech ve ticaret sektörlerindeki bireyleri ve işletmeleri hedef aldığı kötü amaçlı küresel bir kampanyayı ortaya çıkardı. Söz konusu yazılım, parola gibi hassas verileri çalmak ve casusluk amacıyla kullanıcıların cihazlarının kontrolünü ele geçirmek için tasarlanmış. Kampanyanın, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan kötü niyetli bir kiralık hack APT (Gelişmiş Kalıcı Tehdit) grubu olan DeathStalker ile bağlantılı olduğuna inanılıyor. Kaspersky tarafından gözlemlenen son saldırı dalgasında, tehdit aktörleri kurbanlara bilgi çalmak ve failler tarafından kontrol edilen bir sunucudan uzaktan komutlar yürütmek için tasarlanmış bir uzaktan erişim Truva Atı (RAT) olan DarkMe kötü amaçlı yazılımını bulaştırmaya çalıştı. Kampanyanın arkasındaki tehdit aktörleri, ticaret ve fintech sektörlerindeki kurbanları hedef almış gibi görünüyor. Teknik göstergeler kötü amaçlı yazılımın muhtemelen bu konulara odaklanan Telegram kanalları aracılığıyla dağıtıldığını gösteriyor. Kaspersky, Avrupa, Asya, Latin Amerika ve Orta Doğu'da 20'den fazla ülkede saldırılar tespit etti, dolayısıyla tehdidin küresel boyutta olduğuna inanılıyor. Bulaşma zinciri analizi, saldırganların büyük olasılıkla Telegram kanallarındaki gönderilere kötü amaçlı arşivler eklediğini ortaya koyuyor. RAR veya ZIP dosyaları gibi arşivlerin kendileri kötü niyetli değil, ancak .LNK, .com ve .cmd gibi uzantılara sahip zararlı dosyalar içeriyorlar. Hedeflenen kişiler bu dosyaları çalıştırırsa, bir dizi eylemin ardından son aşama olan kötü amaçlı yazılım DarkMe'nin yüklenmesine yol açıyorlar. GReAT Baş Güvenlik Araştırmacısı Maher Yamout, şunları söylüyor: "Bu tehditte tehdit aktörleri geleneksel kimlik avı yöntemlerini kullanmak yerine, tehdit aktörleri kötü amaçlı yazılımı iletmek için Telegram kanallarını kullanıyor. Daha önceki kampanyalarda, operasyonun Skype gibi diğer mesajlaşma platformlarını da ilk bulaşma için bir vektör olarak kullandığını gözlemledik. Bu yöntem, potansiyel kurbanların gönderene güvenmeye ve zararlı dosyayı açmaya, dolayısıyla kimlik avı web sitesine kıyasla daha meyilli olmasına neden olabilir. Ayrıca, mesajlaşma uygulamaları aracılığıyla dosya indirmek, standart internet indirmelerine kıyasla daha az güvenlik uyarısı tetikleyebilir. Bu da tehdit aktörleri için elverişlidir. Genellikle şüpheli e-postalara ve bağlantılara karşı dikkatli olunmasını tavsiye etsek de, bu kampanya Skype ve Telegram gibi anlık mesajlaşma uygulamalarında bile dikkatli olunması gerektiğinin altını çiziyor." Saldırganlar kötü amaçlı yazılım dağıtmak için Telegram'ı kullanmanın yanı sıra, operasyonel güvenliklerini ve ele geçirme sonrası temizlik süreçlerini de geliştirdiler. Kurulumdan sonra kötü amaçlı yazılım DarkMe implantını dağıtmak için kullanılan dosyaları kaldırdı. Analizi engellemek ve tespit edilmekten kaçınmak için failler, hedeflerine ulaştıktan sonra implantın dosya boyutunu artırdı ve istismar sonrası dosyalar, araçlar ve kayıt defteri anahtarları gibi diğer ayak izlerini de sildi.