Mesajlaşma uygulamaları, sadece iletişimde kalmak için yararlı bir araç olmaktan ziyade, aynı zamanda davetsiz misafirlerin de hayatımıza girebildiği açık bir penceredir. Facebook Messenger, Skype, Viber, WhatsApp ve diğer platformlar aracılığıyla casusluk yapan Android Truva Atı Skygofree‘yi sanki daha dün tartıştık gibi geliyor. İşte, bugün de uzmanlarımız tarafından tespit edilen birçok yeni işlevli bulaşmadan bahsedeceğiz. Bu yazılım, masaüstü bilgisayarları takip ediyor ve Telegram yoluyla yayılıyor, hem de ustalıkla.
Kötü amaçlı yazılım yavru kedi resmiyle geliyor!
Truva atı yaratıcılarının temel görevlerinden biri, kullanıcıların kötü amaçlı yazılımları çalıştırmasıdır. Bunun için de tehlikeli dosyaları masumlarmış gibi maskelemek için bir dizi dalavere çevirirler.
Bu özel hile için Arapça ve İbranice gibi bazı dillerin sağdan sola doğru yazıldığını unutmamanız gerekiyor, ayrıca bilgisayar standardı ve neredeyse her yerde bulunan karakter seti Unicode da kelimelerin yönünü değiştirmek için bir yol sağlıyor. Özel bir görünmez karakter kullanarak takip eden har dizisini otomatik olarak ters sırada gösterebilirsiniz. İşte son saldırıda korsanlar bunu kötüye kullandı.
Bir siber suçlunun Trojan.js adında kötü amaçlı bir dosya oluşturduğunu düşünelim. JS uzantısından görebileceğiniz üzere bu bir JavaScript dosyası ve çalıştırılabilir kod içerebilir. Dikkatli bir kullanıcı bu işte bir bit yeniği olduğunu görüp programı çalıştırmaz. Ama dolandırıcımız dosyayı yeniden adlandırabilir, örneğin şu şekilde: cute_kitten*U+202E*gnp.js.
Bu da kullanıcıya çok daha kötü görünür, fakat buradaki U+202E, sonrasında gelen harf ve noktalama işaretlerini sağdan sola dizili gösteren Unicode karakteridir. Sonuçta dosya adı şu şekilde görüntülenir: cute_kittensj.png. Şimdi de dosya uzantısı PNG olarak görünüyor: tamamıyla normal bir resim dosyası gibi görünmesine rağmen aslında JavaScript Truva atı.
Unicode kullanarak dosyayı yeniden adlandırmak yeni bir işlem değil. On yıl önce kötü amaçlı e-posta ekleri ve dosya indirmelerinde kullanılıyordu, birçok ortam da artık buna karşı korumalıydı. Ama Telegram ilk hedeflendiği zaman, bu yöntem işe yaradı. Başka bir deyişle, araştırmacılarımızın anladığına göre Telegram’da sözde RLO güvenlik açığı var (daha doğrusu, vardı).
Yavru kedi resmi madenciye veya arka kapıya dönüşüyor
Bu güvenlik açığı yalnızca Telegram Windows istemcisinde tespit edildi, mobil uygulamalarda değil. Uzmanlarımız varlığını keşfetmekle kalmayıp saldırganların onu etkin bir şekilde kullandıklarını da öğrendi. Kurbanların işletim sistemleri bilinmeyen bir kaynaktan yürütülebilir bir dosyayı çalıştıracakları zaman uyarıda bulunurlar; bu da birkaç alarmın çalmasına neden olmalı, ama çoğu insan mesajı okumadan Çalıştır düğmesine basıyor.
Bir kere çalıştırıldığında kötü amaçlı yazılım gerçekten de “şirin yavru kedi” resmi açarak olası alarmları bastırıyor. Truva atı, yapılandırmasına bağlı olarak, perde arkasında çalıştırmak üzere farklı yüklerle gelir.
Bu yüklerin bir türü gizli madencidir. Çalıştırdığınızda saldırganların kripto para birimi madenciliği için bilgisayar yavaşlar, fazla ısınır ve genellikle de bir yerden patlak verir. İkinci tür ise siber suçluların bilgisayarı uzaktan kontrol edip program yükleyip kaldırmaktan kişisel veri toplamaya kadar istedikleri her şeyi yapabilmeleri için kullandıkları arka kapıdır . Bu tür bulaşma kullanıcı en ufak bir şeyden bile şüphelenmeden çok uzun bir süre boyunca saklı kalabilir.
Sakin olun ve ortalığı velveleye vermeyin
Araştırmacılarımız Telegram’ın geliştiricilerine güvenlik açığını hemen bildirdiler, onlar da (bunu kötüye kullanmak isteyen siber suçlulara inat) bu sorunu çözdüler. Yine de bu Telegram ve diğer popüler anlık mesajlaşma uygulamalarının güvenlik açığı içermediği anlamına tabii ki gelmiyor. Sadece henüz rapor edilmediler. Bu yüzden de gelecekte olabilecek salgınlara karşı korunun ve birkaç basit güvenlik kuralını gözden geçirin. Bunlar sosyal medya, anlık mesajlaşma ve diğer elektronik iletişim araçları için geçerli:
- Riskli kaynaklardan dosya indirip açmayın. Tanımadığınız biri size bir resim gönderirse açmadan önce iki kez düşünün.
- Bir dosyayı açarken sistem uyarısı görürseniz açıklamasıyla açmak istediğiniz dosyanın eşleşip eşleşmediğine iyice bakın.
- Kaspersky Internet Security gibi maskelenmiş kötü amaçlı yazılımların indirme ve yükleme aşamalarında yakalanmasına yardımcı olup bilgisayarınızı diğer bulaşmalara karşı da koruyacak güvenilir bir güvenlik çözümü kullanın.