TgRat Trojan’ıyla Tanışın: Bir zamanlar Windows cihazlarını hedef almasıyla bilinen yeni versiyonu, Linux’u hedef alıyor ve komuta ve kontrol merkezini popüler mesajlaşma uygulaması Telegram üzerinden çalıştırıyor.
Dr. Web’deki siber güvenlik uzmanları, TgRat adı verilen, özel bir Telegram sohbeti üzerinden kontrol edilen, akıllıca bir kılık kullanan, gelişmiş bir Linux tabanlı Uzaktan Erişim Truva Atı (RAT) buldular.
Siber suçluların enfekte olmuş makineleri uzaktan kontrol etmelerine, verileri sızdırmalarına ve komutları çalıştırmalarına olanak tanıyan bu kötü amaçlı yazılım, ilk olarak iki yıl önce bir Windows sürümünde keşfedildi ancak artık Linux ortamlarını hedef alacak şekilde uyarlandı.
TgRat trojanı, popüler mesajlaşma platformunun kurumsal ortamlarda yaygın kullanımından yararlanan bir yöntem olan Telegram botuna bağlanarak çalışır. Bu benzersiz kontrol mekanizması, saldırganların enfekte olmuş sisteme gizlice komutlar vermesini sağlayarak kurbanların enfeksiyonu tespit etmesini zorlaştırır.
Enfeksiyondan sonra TgRat, bilgisayarın ad karma değerini gömülü bir dizeyle karşılaştırarak hedeflenen makinede çalıştığını doğrulamak için kontrol eder. Değerler uyuşmazsa, kötü amaçlı yazılım kendini sonlandırır ve tespit edilmekten kaçınır. Eşleşirse, trojan Telegram botuna bağlanır ve operatörlerinden daha fazla talimat bekler.
Kurulduktan sonra TgRat, dosya indirme, ekran görüntüsü alma ve uzaktan komut çalıştırma gibi çeşitli kötü amaçlı aktiviteler yürütebilir. Tasarımı, tek bir mesaj aracılığıyla tüm betiklerin yürütülmesine izin vererek etkinliğini ve gizliliğini artırır.
Dr. Web’in blog yazısına göre, keşif, bir barındırma sağlayıcısının şüpheli bir etkinlik bildirmesinin ardından geldi ve bu da Doctor Web’in virüs laboratuvarını araştırmaya yöneltti. Sunucuya TgRat kötü amaçlı yazılımını yükleyen bir trojan dropper buldular ve bu da yeteneklerinin daha fazla analiz edilmesine yol açtı.
Uzmanlar, Telegram’ın komuta ve kontrol için kullanılmasının bu trojan’ı özellikle gizli hale getirdiği konusunda uyarıyor. Telegram sunucularına düzenli trafik, kötü amaçlı iletişimleri kolayca gizleyebilir ve ağ güvenlik ekipleri için tespit çabalarını zorlaştırabilir.
TgRat trojanı karmaşık bir tehdit olsa da, siber güvenlik uzmanları ağ trafiğini izleyerek etkinliğini belirleyebilir. Yerel ağ cihazlarından Telegram sunucularıyla yapılan alışılmadık alışverişler olası bir tehlikeye işaret edebilir ve zamanında müdahaleye olanak tanır.
İLGİLİ KONULAR
- Sahtekarlar Artık Telegram ile Dolandırıcılıkları Aktif Olarak Otomatikleştiriyor
- Telegram Android Açığı “EvilVideo” Kötü Amaçlı Yazılımı Video Olarak Gönderiyor
- Triada Kötü Amaçlı Yazılımı Sahte Telegram Uygulaması Aracılığıyla Android Cihazlara Bulaşıyor
- Telekopye Toolkit, Pazar Yeri Kullanıcılarını Dolandırmak İçin Telegram Botu Olarak Kullanılıyor
- Çinli APT Sahte Sinyal ve Telegram Uygulamalarını Resmi Uygulama Mağazalarına Kaydırdı