Kaspersky, Fintech Kullanıcılarını Hedef Alan Küresel Telegram Kampanyasını Ortaya Çıkardı.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), fintech ve ticaret sektörlerini hedef alan kötü amaçlı bir küresel kampanyayı açığa çıkardı. Araştırmaya göre, siber saldırganlar, Telegram üzerinden Truva atı niteliğinde casus yazılım dağıtarak Avrupa, Asya, Latin Amerika ve Orta Doğu’daki birçok kullanıcı ve işletmeyi tehdit ediyor. Bu yazılım, kullanıcıların cihazlarından parola gibi hassas bilgileri çalmak ve cihazların kontrolünü ele geçirmek amacıyla geliştirildi.
Kampanya, Ünlü APT Grubu DeathStalker’a Bağlanıyor
Kaspersky, bu saldırıların DeathStalker isimli kötü niyetli bir kiralık hack grubu tarafından gerçekleştirildiğini belirtiyor. DeathStalker, ticaret ve fintech sektörlerinde faaliyet gösteren küçük ve orta ölçekli işletmelere, finans kurumlarına ve hukuk firmalarına saldırmasıyla tanınıyor. Kaspersky’nin bulgularına göre, tehdit aktörleri DarkMe adını verdikleri uzaktan erişim Truva Atı’nı (RAT) kullanarak bilgi çalmak ve uzaktan komutlar yürütmek üzere kurbanlara kötü amaçlı yazılım bulaştırmaya çalıştı.
Telegram, Casus Yazılımın Dağıtımında Ana Vektör Olarak Kullanıldı
Saldırganlar, kötü amaçlı yazılımı yaymak için Telegram kanallarını kullanarak hedeflenen kişilere zarar vermeyi amaçladı. Bu kanallarda paylaşılan RAR veya ZIP dosyaları gibi arşivler, görünüşte zararsız olsalar da .LNK, .com ve .cmd uzantılı zararlı dosyalar içeriyor. Kurbanlar bu dosyaları çalıştırdıklarında, zincirleme bir dizi işlemin ardından cihazlarına DarkMe implantı yükleniyor. Kaspersky, bu saldırıların 20’den fazla ülkede tespit edildiğini ve tehditin küresel boyutta ciddi bir endişe kaynağı olduğunu belirtiyor.
GReAT Baş Güvenlik Araştırmacısı Maher Yamout: “Anlık Mesajlaşma Uygulamaları Üzerinden Gelen Tehditlere Dikkat”
Maher Yamout, saldırganların geleneksel kimlik avı yöntemlerinin ötesine geçerek Telegram gibi mesajlaşma uygulamalarını nasıl kullandıklarını açıklıyor. “Bu tehditte, kimlik avı web siteleri yerine güvenilir görünen Telegram kanallarını kullanarak kurbanları kandırmayı hedefliyorlar. Potansiyel kurbanlar, mesajlaşma uygulamalarında dosya indirdiklerinde daha az güvenlik uyarısı alıyorlar, bu da tehdit aktörleri için avantaj sağlıyor. Bu nedenle, sadece e-postalar değil, Skype ve Telegram gibi uygulamalar üzerinden gelen dosyalar da dikkatle incelenmeli,” dedi.
Saldırganlar, İzlerini Silmek İçin Gelişmiş Taktikler Kullanıyor
DarkMe implantını kurduktan sonra, saldırganlar, analizi zorlaştırmak ve tespitten kaçınmak için zararlı dosyaları siliyor ve sistemde iz bırakmamaya çalışıyor. Tehdit aktörlerinin operasyonel güvenliğini artırdığı ve ele geçirme sonrası temizlik süreçlerini geliştirdiği belirtiliyor. DeathStalker, faaliyetlerini gizlemek için sahte bayraklar kullanma ve diğer APT gruplarını taklit etme gibi taktiklerle biliniyor.
Kaspersky’den Güvenlik Önerileri
- Güvenilir bir güvenlik çözümü kullanın ve tavsiyelere uyun.
- Yeni siber saldırı tekniklerinden haberdar olun ve güvenlik bloglarını takip edin.
- Kurumlar için, Tehdit İstihbaratı ve siber güvenlik eğitimleri ile çalışanların güncel kalmasını sağlayın. InfoSec uzmanlarının karmaşık saldırılara karşı hazırlıklı olması önemlidir.
- EDR ve XDR gibi çözümlerle gerçek zamanlı koruma sağlayın.
Kaspersky’nin ortaya çıkardığı bu küresel kampanya, siber güvenliğin yalnızca e-postalarla sınırlı olmadığını ve anlık mesajlaşma uygulamalarında da ciddi tehditler oluşturabileceğini gözler önüne seriyor. Özellikle Telegram gibi platformların saldırganlar tarafından nasıl bir silah haline getirildiğini anlamak, bireylerin ve kurumların güvenlik stratejilerini yeniden gözden geçirmesini gerektiriyor. DeathStalker’ın sofistike yöntemleri, siber suçların evrimini gösterirken, Kaspersky’nin uyarıları bu alandaki farkındalığın ne kadar önemli olduğunu bir kez daha vurguluyor.
