Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), fintech ve ticaret sektöründeki kullanıcıları hedef alan bir Telegram kampanyasını açığa çıkardı. Avrupa, Asya, Latin Amerika ve Orta Doğu’daki kullanıcıları hedef alan bu kampanya, siber saldırganların cihazlara Truva atı casus yazılımı bulaştırarak, hassas verileri çalmayı ve cihazları uzaktan kontrol etmeyi amaçlıyor. Özellikle parola gibi kritik bilgilerin ele geçirilmesini hedefleyen bu zararlı yazılım, kullanıcıları ciddi bir riskle karşı karşıya bırakıyor.
Telegram Üzerinden Yayılıyor: DeathStalker Bağlantısı
Kampanyanın ardındaki tehdit grubunun, bilgisayar korsanlığı ve finansal istihbarat hizmetleri sunan "DeathStalker" isimli kiralık bir hack grubu olduğu düşünülüyor. Kaspersky'nin tespitlerine göre, DeathStalker grubunun son saldırılarında "DarkMe" isimli uzaktan erişim Truva atı (RAT) kullanılarak kurbanların bilgileri çalınmaya çalışıldı. DarkMe, kurbanların cihazlarına sızarak uzaktan komut çalıştırıyor ve kontrolü ele geçirebiliyor.
Telegram Kanalları Aracılığıyla Yayılma Stratejisi
Kaspersky araştırmacıları, saldırganların kötü amaçlı yazılımı Telegram kanallarındaki gönderilere ekledikleri arşiv dosyaları (RAR, ZIP) yoluyla dağıttıklarını belirtiyor. Bu dosyalarda .LNK, .com ve .cmd gibi zararlı uzantılar bulunuyor. Kurbanlar, bu dosyaları çalıştırdığında, yazılımın son aşamada DarkMe’yi cihaza yüklediği ortaya çıktı.
Güvenlik Uzmanından Önemli Uyarı: Mesajlaşma Uygulamalarına Dikkat!
GReAT Baş Güvenlik Araştırmacısı Maher Yamout, bu tür saldırılarda geleneksel kimlik avı yöntemlerinden farklı olarak mesajlaşma uygulamalarının kullanıldığına dikkat çekiyor. Yamout, “Tehdit aktörleri, kimlik avı web sitelerine kıyasla mesajlaşma uygulamalarında gönderene duyulan güvenin yüksek olmasından yararlanıyor” diyor. Kullanıcıların artık yalnızca e-posta değil, Telegram ve Skype gibi uygulamalarda da dikkatli olmaları gerektiğini vurguluyor.
Saldırganlar İzlerini Temizliyor!
Kaspersky, saldırganların iz bırakmadan çalışabilmek için operasyonel güvenliklerini güçlendirdiğini belirtiyor. DarkMe kötü amaçlı yazılımını kurulumun ardından cihazda iz bırakmayacak şekilde yapılandıran saldırganlar, implant dosyasını büyütüyor ve tespit edilmemek adına çeşitli izleri siliyor.
Kaspersky’nin Kullanıcılara Güvenlik Önerileri
Kaspersky, kullanıcıların siber saldırılardan korunması için şu önerilerde bulunuyor:
- Güvenilir Bir Güvenlik Çözümü Kullanın: Güvenlik çözümleri, zararlı yazılımları otomatik olarak tespit edebilir ve gerekli önlemleri alır.
- Yeni Siber Tehditleri Takip Edin: Güvenlik blogları ve güncellemeler ile yeni saldırı tekniklerini öğrenerek bilinçlenin.
- Kapsamlı Tehdit İstihbaratından Yararlanın: Özellikle şirketler için siber tehdit görünürlüğü sağlayan güvenlik çözümleri kullanın.
- Eğitim ve Farkındalık Artırımı: Çalışanlara yönelik siber güvenlik kursları ile farkındalığı artırın.
DeathStalker: 2012’den Beri Etkin Bir Siber Paralı Asker Grubu
DeathStalker, 2012 yılından bu yana finans, fintech ve hukuk sektöründeki kurumları hedef alarak rekabet ve iş istihbaratı amacı güden bir grup olarak biliniyor. Grubun, operasyonlarını gizlemek için diğer APT aktörlerini taklit ederek sahte bayrak kullanma eğiliminde olduğu belirtiliyor.
Kaspersky’nin sunduğu bu detaylı uyarılar, fintech ve ticaret sektörü kullanıcılarının Telegram gibi mesajlaşma uygulamaları üzerinde daha dikkatli olmalarını sağlıyor.
Metin Karakuş
