Başlangıçta Temmuz 2024’te yamalanan CVE-2024-7014 güvenlik açığının kritik bir evrimi, güvenlik önlemlerini atlamak için güncellenmiş taktiklerle yeniden ortaya çıkmıştır.
Evilloader olarak adlandırılan bu yeni istismar, .htm dosyalarını video içeriği olarak gizleyerek kötü amaçlı JavaScript kodunu yürütmek için Telegram’ın multimedya işleme mekanizmalarından yararlanır.
Aktif kampanyalarda gözlemlenen saldırı zinciri, tehdit aktörlerinin yaygın olarak kullanılan mesajlaşma platformlarında eski zayıflıklardan yararlanmak için yöntemlerini nasıl geliştirmeye devam ettiğini göstermektedir.
Telegram EvilVideo Güvenlik Açığı
Güvenlik açığı, Telegram’ın Android istemcisindeki dosya biçimlerinin yanlış doğrulanmasından kaynaklanmaktadır.
Güvenlik Açığı’nın CVSS V4.0: 7.1 (yüksek şiddet) düşük saldırı karmaşıklığını ve yüksek bütünlük/kullanılabilirlik etkilerini gösterir.
Orijinal EvilVideo istismarı (CVE-2024-7014) saldırganların video dosyaları olarak gizlenmiş Android Paket Kiti (APK) dosyalarını dağıtmasına izin verirken, güncellenmiş saldırı vektörü APK’ları gömülü JavaScript içeren HTML dosyalarıyla değiştirir.
Bir kurban Telegram aracılığıyla kötü amaçlı bir dosya aldığında, platform manipüle edilmiş meta veri başlıkları nedeniyle .htm dosyasını yanlış bir şekilde yorumlar.
Android’in içeriği: // URI şeması bu istismarda çok önemli bir rol oynar. Bir kullanıcı gizlenmiş dosyayı açmaya çalıştığında, Telegram şu şekilde bir URI oluşturur:
Bu URI, sistemi varsayılan tarayıcı kullanarak dosyayı açmaya yönlendirir ve HTML içine gömülü JavaScript’in yürütülmesini tetikler. Saldırganlar, IP kaydedicilerden ek kötü amaçlı yazılım getiren damlalara kadar değişen yükleri dağıtmak için bu davranışı kullanırlar.
Saldırı İş Akışı ve Yük Teslimi
0x6RSS, kötü amaçlı yazılım ve CTI analistlerine göre, Eviloader kampanyası çok aşamalı bir süreci takip ediyor:
Yük işçiliği: Saldırganlar, cihaz meta verilerini (örn. IP adresi, coğrafi konum) toplamak için tasarlanmış JavaScript içeren bir HTML dosyası oluşturur veya kimlik avı sayfalarına yönlendirir.
Telegram API kötüye kullanımı: Telegram’ın Bot API’sini kullanarak saldırganlar, sahte mime türü (Video/MP4) ve dosya adı uzantısı (Testv.mp4) ile kötü amaçlı HTML dosyasını yükler.
Kullanıcı etkileşimi: Alıcılar dosyayı sohbetlerde “30 saniyelik bir video” olarak görür. Otomatik medya indirme (varsayılan olarak etkin) veya manuel indirmeler yükü alır.
Kod Yürütme: “Videoyu” oynamaya çalışmak başarısız olur ve kullanıcıların harici olarak açmasını ister. HTML dosyası tarayıcıda yürütülür ve kötü amaçlı komut dosyaları çalıştırır.
Platformlar: Telegram sürümlerini çalıştıran Android cihazlar ≤10.14.4 (açılmamış örnekler).
Yükler: Veri eksfiltrasyonu, kimlik bilgisi hırsızlığı ve ikincil kötü amaçlı yazılım indirmeleri (örn. Bankacılık Truva atları, sıçanlar).
Azaltma önerileri
- Daha katı dosya doğrulamasını uygulayan ≥10.14.5 sürümünün kurulumunu sağlayın.
- Ayarlar> Veri ve Depolama> Otomatik Medya İndirme ve Tüm Sohbet Türlerini Devre Dışı Bırakın.
- Kullanıcıları şüpheli dosyaları tanımak ve Telegram Media için harici oyuncu kullanmaktan kaçınmak için eğitin.
- Anormal HTML yürütme girişimlerini tespit etmek için mobil tehdit savunma çözümlerini dağıtın.
Evilloader aracılığıyla CVE-2024-7014’ün yeniden canlanması, mesajlaşma platformlarında uygunsuz girdi validasyonunun kalıcı risklerinin altını çizmektedir.
Saldırganlar taktiklerini geliştirdikçe, kuruluşlar yazılım güncellemelerini, kullanıcı farkındalığını ve uç nokta izlemesini birleştiren katmanlı savunmaları benimsemelidir.
Telegram kullanıcıları, uygulama sürümlerini hemen doğrulamalı ve benign videolar olarak görünenler bile istenmeyen medya dosyalarıyla dikkatli olmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free