Telegram’ın dosya paylaşım altyapısını hedefleyen yeni belgelenmiş bir sömürü tekniği, siber güvenlik çevrelerinde alarmlar artırdı.
“EvilVideo” olarak adlandırılan bu saldırı vektörü, telgrafın multimedya içeriğini nasıl işlediğinde bir güvenlik açığından (CVE-2024-7014) yararlanarak saldırganların kötü niyetli HTML dosyalarını video dosyaları olarak gizlemelerini sağlıyor.
Şüphesiz kullanıcılar bu dosyaları açmaya çalıştığında, gömülü JavaScript kodu yürütülür, IP günlüğünü, cihaz parmak izini ve ikincil yük dağıtımını etkinleştirir.
EvilVideo istismarının teknik dökümü
Güvenlik açığı, Telegram’ın dosya tipi doğrulama mekanizmalarındaki tutarsızlıklardan kaynaklanmaktadır. Saldırganlar, JavaScript yükleri içeren bir .htm dosyası oluşturur, .mp4 uzantısı ile yeniden adlandırır ve Telegram’ın API’sı aracılığıyla dağıtırlar.
Bir alıcı dosyayı açtığında, Android’in içerik sağlayıcı sistemi URI’yi içerik olarak ayrıştırır: //org.telegram.messenger.provider/media/…, bir video oynatıcı yerine HTML/JavaScript içeriğini oluşturmak için varsayılan tarayıcıyı tetikler.
Silahlı HTML yükü
Bir CTI canavar raporuna göre, kötü amaçlı HTML, hassas sistem ve ağ verilerini çıkarmak için tarayıcı tabanlı komut dosyası kullanır.
Aşağıdaki kavram kanıtı kodunda gösterildiği gibi, saldırganlar IP coğrafi konum ayrıntılarını toplamak ve bunları bir komut ve kontrol sunucusuna eklemek için Getch API’sından yararlanır:
Bu senaryo, kurbanın genel IP adresini, ISS’yi ve coğrafi koordinatlarını hasat ederek saldırganlara takip saldırıları için kritik zeka sağlıyor.
Eviloader Modülü: Geliştirilmiş anti-analiz yetenekleri
Eviloader Hizmet Olarak Kötü Yazılımlar (MAAS) platformunda yapılan son güncellemeler, tespitten kaçınmak için gelişmiş anti-analiz kontrolleri içerir. Modül şimdi:
- Kum havuzu tespiti: RAM, CPU çekirdeği ve ekran çözünürlük sezgisel yöntemlerini kullanarak sanallaştırılmış ortamları kontrol eder.
- Hata Ayıklayıcı Kaçma: FRIDA veya Xposed Framework gibi hata ayıklama araçları için monitörler.
- Coğrafi kaplama: Saldırganın hedefleriyle ilgisiz bölgelerde yürütmeyi engeller.
Bu geliştirmeler, ters mühendisliği karmaşıklaştırır ve saldırganların kullanıcıları güvenlik protokollerini devre dışı bırakmaya yönlendiren sahte “Play Protect” uyarıları gibi ikincil yükleri dağıtmasına izin verir.
Aşağıdaki video, “kötü amaçlı yazılım ve ip logger” senaryolarının nasıl yapıldığını gösteriyor:
Saldırı Yaşam Döngüsü ve Kullanıcı Etkisi
- Cazibe dağıtım: Saldırganlar kötü niyetli .htm dosyasını telgraf aracılığıyla, video olarak görünen (örneğin, 4_5924894289476721732.mp4) gönderir.
- Dosya yürütme: Kurban dosyayı açmaya çalışır ve tarayıcının HTML’yi oluşturmasını ister.
- IP exfiltration: JavaScript ağ verilerini toplar ve saldırganın sunucusuna iletir.
- Yük dağıtım: Mağdurlar, güvenlik güncellemeleri olarak gizlenmiş kötü amaçlı yazılım indirmelerini barındıran kimlik avı sayfalarına yönlendirilir.
Azaltma stratejileri
- Kullanıcı uyanıklığı: Bilinmeyen gönderenlerden istenmeyen “video” dosyalarını açmaktan kaçının. Yürütmeden önce dosya uzantılarını doğrulayın.
- Ağ İzleme: IP coğrafi konum API’lerine anormal trafiği işaretlemek için izinsiz giriş algılama sistemlerini (IDS) dağıtın.
- Geliştirici eylemi: Telegram, daha katı mime tipi doğrulama uygulamalı ve API yüklü ortam için dosya içerik taraması uygulamalıdır.
EvilVideo Suploit, modern uygulamalarda dosya türleri ve yürütme bağlamları arasındaki bulanık çizginin altını çizer.
Saldırganlar içerik açısından koruma tekniklerini geliştirdikçe, kullanıcılar ve geliştiriciler proaktif güvenlik duruşlarını benimsemelidir-dosya bütünlüğünü doğrulamak, yazılımı düzenli olarak güncellemek ve ortaya çıkan sosyal mühendislik taktikleri üzerinde eğitim almak zorundadır.
CVE-2024-7014 ile Telegram’ın güvenlik açığı manzarasını vurgulayarak, platform çapında güvenlik denetimleri benzer tehditleri azaltmak için zorunludur.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free