Discord ve Telegram günümüzde en popüler iletişim kanallarından bazıları olsa da, yalnızca sohbet ve mesajlaşma için kullanılmıyorlar. Siber saldırganların bu platformları kötü amaçlı faaliyetlerinin bir parçası olarak kullanması giderek daha yaygın hale geliyor.
Başlangıçta oyuncular, topluluklar ve güvenli iletişim için tasarlanan bu hizmetler, yaygın kullanımları, anonimlik özellikleri ve kötü amaçlı operasyonlara kolayca entegre edilebilmeleri nedeniyle ne yazık ki siber suçluların dikkatini çekmiştir.
Saldırganlar artık kötü amaçlı yazılımları yönetmek, kötü amaçlı yükleri dağıtmak ve tehlikeye atılmış sistemlerden hassas verileri sızdırmak için Discord ve Telegram’ı rutin olarak komuta ve kontrol (C2) altyapısı olarak kullanıyor.
Siber Saldırganlar Neden Discord ve Telegram Kullanıyor?
Saldırganlar saldırılarında Discord ve Telegram’ı giderek daha fazla kullanıyor çünkü bu platformlar kötü amaçlı faaliyetler için ideal olan özellikler sunuyor.
- Yaygın kullanım: Bu platformlar popülerdir, dolayısıyla kötü amaçlı faaliyetler normal trafiğe kolayca karışabilir.
- Şifreleme ve anonimlik: Her ikisi de güçlü gizlilik özellikleri sunarak saldırıların izlenmesini veya engellenmesini zorlaştırır.
- Kullanım kolaylığı: Discord’un webhook’ları ve Telegram’ın botları basit komuta ve kontrol (C2) işlemlerine olanak tanır.
- Entegrasyon yetenekleri: Bu platformlar, verimli yönetim ve yürütme için kötü amaçlı yazılım kampanyalarına entegre edilebilir.
Ancak, kötü amaçlı yazılım avcılarının etkileşimli sanal alanlar gibi siber güvenlik araçlarının yardımıyla Discord ve Telegram’dan kaynaklanan tehditleri tespit etmesi artık daha kolay. Bu araçlar, her bağlantının veya dosyanın davranışını kontrollü bir ortamda gözlemlemelerine olanak tanıyarak, tehdidin yayılmasını durdurmak için etkili çözümler geliştirmeyi mümkün kılıyor.
ANY.RUN’ın Sandbox’ını Ücretsiz Deneyin
Discord ve Telegram Kötü Amaçlı Yazılımlar Tarafından Nasıl Kullanılabilir?
Saldırganlar ve kötü amaçlı yazılımlar, kötü amaçlı faaliyetlerini gerçekleştirmek için Discord ve Telegram’ı çeşitli yollarla kullanabilirler:
1.Komuta ve Kontrol (C2) Altyapısı
Saldırganlar, enfekte cihazlara komutlar göndermek ve çalınan verileri almak için Discord’un webhook’larını kullanabilir. Bu yöntem, meşru trafikle karıştığı için tespit edilmesi zor olan bir iletişim merkezi olarak Discord kanallarını kullanarak kötü amaçlı yazılımları uzaktan kontrol etmelerine olanak tanır.
Discord gibi Telegram botları da kötü amaçlı yazılımları yönetebilir ve kontrol edebilir. Saldırganlar, Telegram’ın şifreli mesajlaşma hizmetinin örtüsü altında, enfekte cihazlarla etkileşime giren, komutlar gönderen ve veri alan botlar kurar.
Örneğin, X-Files hırsızı, çalınan verileri sızdırmak için Telegram’ı bir iletişim platformu olarak kullanıyor.
Benzer vakaları kullanarak inceleyebilirsiniz. OF Aramakötü amaçlı yazılımların Telegram veya Discord gibi platformları kullanarak verileri sızdırma durumlarını bulmanızı sağlar. Bu, benzer tehditlerin bu iletişim kanallarını nasıl kullandığını gözlemlemenize olanak tanır ve olası risklerin önünde kalmanıza yardımcı olur.
2. Kötü Amaçlı Yazılım Dağıtımı
Discord’un dosya paylaşım özelliği kötü amaçlı dosyaları dağıtmak için de kullanılır. Bu dosyalar Discord’un İçerik Dağıtım Ağı’nda (CDN) barındırılır ve bu da onları meşru gösterir ve birçok güvenlik filtresini aşar.
Kötü amaçlı yazılımlar, saldırganların virüslü dosyaları veya bağlantıları paylaştığı Telegram kanalları veya grupları aracılığıyla da yayılabilir. Telegram’ın yaygın kullanımı ve algılanan güvenliği, kullanıcıları kötü amaçlı içerik indirmeye kandırabilir.
Şüpheli dosyalar ve bağlantılar, yüklenerek kolayca analiz edilebilir. ANY.RUN sanal alanıizole bir ortamda nasıl davrandıklarını gözlemleyebileceğiniz bir yer.
Bu, kötü amaçlı yazılımların Discord veya Telegram gibi platformları kötü amaçlı dosyaları dağıtmak için nasıl kullanabileceğini ilk elden görmenizi sağlar ve bu platformlar içindeki hangi kanallardan kaçınmanız gerektiğini belirlemenize yardımcı olur.
Sınırsız kötü amaçlı yazılım analiz etmek için ANY.RUN’a ücretsiz kaydolun
3. Kimlik Avı Saldırıları
Saldırganlar, Discord’u kullanarak kullanıcılara kimlik avı bağlantıları gönderebilir, bunlar genellikle güvenilir kişilerden veya kanallardan gelen mesajlar olarak gizlenir. Bu bağlantılar, kimlik bilgilerini çalmak veya kötü amaçlı yazılım dağıtmak için tasarlanmış kötü amaçlı sitelere yönlendirebilir.
Phishing bağlantıları ayrıca Telegram üzerinden, genellikle botlar veya gruplar aracılığıyla paylaşılır. Bu bağlantılar kullanıcıları sahte giriş sayfalarına yönlendirebilir veya kötü amaçlı yazılımları doğrudan cihazlarına indirebilir.
Örneğin, trojan Xworm kapsamlı bir bilgisayar korsanlığı araç setine sahiptir ve enfekte olmuş bilgisayardan özel bilgileri ve dosyaları toplayabilir, Telegram hesaplarını ele geçirebilir ve kullanıcı aktivitelerini izleyebilir.
Tehdidi ANY.RUN gibi etkileşimli bir sanal alanda çalıştırdığımızda, kimlik bilgilerini çalmak için Telegram’ı nasıl kullandığını görebiliriz.
Tehditler bölümünü inceleyerek Suricata IDS kuralları tarafından işaretlenen şüpheli veya kötü amaçlı ağ etkinliklerini hızlı bir şekilde tespit edebiliriz.
Listelenen aktivitelerden biri de kötü amaçlı yazılımın Telegram üzerinden veri sızdırma girişimi.
4.API’lerin kullanımı
Saldırganlar, kötü amaçlı faaliyetlerini ilerletmek için hem Telegram’ın hem de Discord’un API’lerini istismar etmenin yollarını buldular. Bu API’leri kötüye kullanarak zararlı botlar oluşturabilir veya bir dizi saldırıyı otomatikleştirebilirler.
Bu platformların API’lerinin sağladığı güçlü otomasyon yetenekleri, spam gönderme, kanalları istenmeyen mesajlarla doldurma veya hatta karmaşık siber saldırıları koordine etme gibi eylemleri gerçekleştirmek için kötüye kullanılabilir.
Kullanıcı deneyimini ve işlevselliğini geliştirmek için tasarlanan bu API’ler, ne yazık ki yanlış ellere geçtiğinde çeşitli kötü amaçlı davranışları kolaylaştırabilecek bir araç seti de sağlıyor.
14 Gün En İyi Etkileşimli Analiz Özellikleri
ANY.RUN’ın sanal alanının tüm potansiyelini deneyimleyin ve etkileşimli kötü amaçlı yazılım analizinin siber güvenlik çabalarınızı nasıl artırabileceğini keşfedin.
- 40 saniyeden kısa bir sürede bir dosya veya URL hakkında net bir karar alın.
- Analizi 3 basit adımda tamamlayın: örneği yükleyin, kötü niyetli davranışları gözlemleyin ve raporu indirin.
- Örnekle doğrudan etkileşime geçin: CAPTCHA’ları çözün, ekleri indirin ve açın, hatta sistemi yeniden başlatın.
- Ağ etkinliğini, işlem ayrıntılarını, kayıt defteri değişikliklerini ve dosya sistemi değişikliklerini gerçek zamanlı olarak izleyin.
- Ayrıntılı yapılandırma verileri de dahil olmak üzere 79’dan fazla kötü amaçlı yazılım ailesinden IOC’leri toplayın.
ANY.RUN’ın gelişmiş özelliklerini keşfetmek için 14 günlük ücretsiz deneme sürümünü edinin