Güvenli mesajlaşmayla eşanlamlı olan Telegram, paradoksal bir şekilde, platformun güçlü yönlerini kötüye kullanarak şüphelenmeyen web sitelerini hedef alan siber suçlular için bir araç haline geldi.
Bir zamanlar kullanıcı gizliliği ve güvenliğine olan bağlılığıyla bilinen bu popüler mesajlaşma platformu, artık yaratıcılarının asla amaçlamadığı şekillerde kullanılıyor: kötü amaçlı yazılım bulaşmış web sitelerini kontrol etmek için bir kanal olarak.
Telegram’ın Web Sitesi Kötü Amaçlı Yazılımlarında Kötüye Kullanımı
Sucuri bloguna göre Telegram’ın bir mesajlaşma uygulaması olarak çok yönlülüğü tartışılmaz: Uygulama hem gizlilik hem de esneklik sağlayan çok sayıda özelliğe sahip.
Ancak bu nitelikler daha az zevk alan bir kullanıcı tabanı olan siber suçluların ilgisini çekti.
Saldırganların Telegram’ı kullanmanın başlıca yollarından biri, kötü amaçlı yazılımlarının durumu hakkında bildirimler almaktır.
Bir web sitesinin güvenliği ihlal edildiğinde, bir Telegram botu saldırganı uyarabilir ve virüslü site hakkında gerçek zamanlı güncellemeler sağlayabilir.
Buna, yeni veriler yakalandığında, ek kötü amaçlı yazılım başarıyla yerleştirildiğinde veya bir yönetici web sitesinin virüslü bölümleriyle etkileşimde bulunduğunda verilen uyarılar da dahildir.
Veri Sızıntısı
Telegram botları genellikle çalınan verileri doğrudan saldırganın Telegram hesabına sızdıracak şekilde yapılandırılır.
Bu, hassas kullanıcı bilgilerini, oturum açma kimlik bilgilerini ve finansal verileri içerebilir.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Telegram’ın hızı ve şifrelemesi, çalınan bu verilerin hızlı ve gizli bir şekilde taşınmasını sağlar; genellikle şüpheli veri akışlarını izlemek ve engellemek için tasarlanan geleneksel güvenlik önlemlerini atlar.
Geleneksel olarak kötü amaçlı yazılımlar, güncellenmiş komutları almak ve etkilenen sistemleri yönetmek için bir komut ve kontrol (C&C) sunucusuna ihtiyaç duyar. Telegram daha gizli bir alternatif sunuyor.
Saldırganlar, basit mesajlar yoluyla konuşlandırılan kötü amaçlı yazılımlarına ek bileşenler indirmesi, diğer ağ bölümlerine yayılması ve hatta bir hizmet reddi saldırısı başlatması için komut verebilir.
Telegram, bu tür işlemler için gereken altyapıyı basitleştirir ve C&C sunucularının kolluk kuvvetleri ve siber güvenlik uzmanlarının eline geçmesi riskini azaltır.
Telegram’ın güçlü şifreleme ve gizlilik politikaları, bu etkinliklerin faillerine kadar takip edilmesinin zor olduğu anlamına geliyor.
Saldırganlar anonimlik perdesinin arkasına saklanarak kolluk kuvvetlerinin ve araştırmacıların tehditleri takip etme ve etkisiz hale getirme çabalarını zorlaştırıyor.
Geçen yıl araştırma ekibimiz, web sitesi saldırılarında Telegram’dan yararlanan çok sayıda kötü amaçlı yazılım bulaştığını buldu.
Bu kötü amaçlı yazılımla ilgili 290’dan fazla virüslü web sitesindeki 11.000’den fazla kötü amaçlı dosyayı temizledik.
Durum çalışmaları
Örnek Olay 1: İzleme ve Bildirim Sistemi
Yeni veri yakalama, ek kötü amaçlı yazılım yerleştirme ve yönetici etkileşimleriyle ilgili uyarılar da dahil olmak üzere, güvenliği ihlal edilmiş web sitelerindeki kötü amaçlı yazılımlarının durumu hakkında gerçek zamanlı bildirimler almak için Telegram botlarını kullanan saldırganlarla karşılaşıyoruz.
Kötü amaçlı yazılım, Telegram’ın bot_token’i aracılığıyla kimlik doğrulaması yapmak için bir bot kullanıyor ve ardından web sitesinin URL’sini, adını ve yönetici e-posta adresini, saldırganın bu ayrıntıları toplayıp kullanabileceği belirli bir sohbet odasına göndermek için chat_id’yi kullanıyor.
Örnek Olay 2: Kredi Kartı Ayrıntılarına Yönelik Kimlik Avı
Saldırganlar, çalınan kimlik bilgilerini ve hassas verileri toplayıp sunucularına göndermek için genellikle ele geçirilen web sitelerinde kötü amaçlı PHP komut dosyaları kullanır.
Ancak şifreli mesajlaşma hizmeti nedeniyle son zamanlarda Telegram API’nin veri hırsızlığı amacıyla kullanımında bir artış gördük.
Bir araştırma sırasında küresel bir kurye hizmeti olan DHL’i taklit eden bir kimlik avı sayfasıyla karşılaştık.
Sahte sayfa, benzer renklere, yazı tiplerine ve stillere sahip meşru bir DHL takip sayfası gibi görünecek şekilde tasarlandı.
Adımlardan herhangi birinde bir form gönderimi gerçekleştiğinde, JavaScript verileri toplar ve Herokuapp tarafından barındırılan bir hizmet aracılığıyla Telegram botuna gönderir.
Bu yaklaşım, saldırganların tespit edilmekten kaçınmak için meşru Roku hizmetinden yararlanmasına olanak tanır ve kimlik avı tekniklerinde gelişmiş bir evrime işaret eder.
Örnek Olay 3: Oturum Açma Kimlik Bilgilerine Yönelik Kimlik Avı
Yakın zamanda gerçekleşen başka bir örnekte, saldırganlar kimlik avı dolandırıcılığını kolaylaştırmak için Telegram API’sinden yararlandı.
Adresler, e-postalar, cep telefonu numaraları ve IP adresleri gibi çalınan verileri doğrudan saldırgana iletmek için Telegram’ı kullanan bir posta komut dosyası oluşturdular.
Telegram sızıntısı ile en sık tespit edilen kimlik avı komut dosyası, çeşitli kimlik avı alt dizinlerindeki telegram_bot.php dosyalarında bulundu.
Bu iletişim yöntemi, hassas kullanıcı bilgilerinin toplanması ve kullanılması sürecini kolaylaştırır ve saldırganın anında bildirim almasına olanak tanır, böylece herhangi bir şüpheli kullanıcı bunları değiştirme şansına sahip olmadan veya kuruluşları herhangi bir şüpheli etkinlik tespit etmeden önce çalınan kimlik bilgilerini kullanabilir.
Örnek Olay 4: Sunucu Tarafında Veri Süzülmesi
Saldırganlar sürekli olarak ele geçirilen web sitelerinden veri çalmanın ustaca yollarını buluyor.
Son yıllarda saldırganlar, web sitesinin sunucusundan veri sızdırmak için Telegram API gibi iletişim sistemlerinden yararlanıyor.
Bu, saldırganların çalınan verileri doğrudan bir bota göndermesine olanak tanıyarak tespit etmeyi daha zorlu hale getirir ve ele geçirilen bilgilere gerçek zamanlı erişim sağlar.
Dikkate değer bir örnek, wp-login.php dosyasına kötü amaçlı kod enjekte edilen bir WordPress sitesine yapılan saldırıdır.
Bu kod, bir kullanıcı her oturum açma girişiminde bulunduğunda oturum açma bilgilerini yakalıyor ve çalınan verileri bir Telegram botuna gönderiyordu.
WhatsApp ve Signal gibi diğer mesajlaşma uygulamaları da şifreleme sunarken Telegram’ın benzersiz özellikleri, onu özellikle kötü niyetli kişiler için çekici kılıyor:
- Telegram’ın API’si daha erişilebilirdir ve işlevlerin daha kapsamlı otomasyonuna olanak tanıyarak saldırganların botları dağıtmasını kolaylaştırır.
- Telegram, doğrudan kullanıcıya bağlı bir telefon numarası gerektiren diğer platformlardan çok daha fazla anonimlik sunar.
- WhatsApp ve Signal mesajları şifreliyor ancak aynı düzeyde anonimlik veya API esnekliği sunmuyor; bunlar, kimliği açığa vurmadan siber saldırıları düzenlemek ve yönetmek için çok önemli.
Tehdidi Ele Alma
Telegram tabanlı kötü amaçlı yazılımları tespit etmek ve bunlara karşı koruma sağlamak için web sitesi yöneticileri çeşitli stratejiler benimseyebilir:
- Yetkisiz kullanıma işaret edebilecek Telegram API uç noktalarına yapılan tüm bağlantılar için ağ trafiğini düzenli olarak analiz edin.
- Beklenmedik giden bağlantılar veya gönderilen olağandışı veri yükleri gibi olağandışı etkinlikler için sunucu günlüklerini kontrol edin.
- Olağandışı davranışları işaretlemek ve tanımlamak için anormallik algılama algoritmalarını kullanan gelişmiş web sitesi güvenlik izlemesini yükleyin.
- Tehditleri tanımlamak ve azaltmak için bir web uygulaması güvenlik duvarı ve izinsiz giriş tespit sistemi (IDS) kullanın.
- Saldırganların yararlanabileceği güvenlik açıklarını kapatmak için tüm sistemleri ve yazılımları düzenli olarak en son güncellemelerle yamalı tutun.
Telegram, güvenli mesajlaşma yetenekleriyle tanınırken, kötü niyetli kişiler, web sitelerine karmaşık saldırılar gerçekleştirmek için bu özellikleri kullanıyor.
Bunu önlemek için mükemmel bir çözüm yoktur. Ancak Telegram’ın bu sorunu çözmesi ve temel gizlilik ilkesini etkilemeden platformunun kötüye kullanılmasını önlemenin yollarını araması gerekiyor.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.