Telegram hesabınız, parola veya doğrulama kodu olmadan çalınabilir

Bilgisayar korsanları, Telegram oturumlarını ele geçiren ve saldırgana parola veya doğrulama kodları olmadan hesaplara erişim imkanı sağlayan bir PowerShell komut dosyası geliştirdiler. İşte sistemin nasıl işlediği ve nasıl güvende kalabileceğinize dair ayrıntılı bir açıklama.

Bilgisayar korsanları, Telegram hesaplarını çalmak için PowerShell komut dosyalarını nasıl kullanıyor?

Birinin Telegram hesabına izinsiz girmek için düzinelerce yol vardır. Telegram Mini Uygulamalarında kimlik avı, botlarla yapılan dolandırıcılık, hediye ve çekilişler ve diğer pek çok taktiği sık sık ele aldık. Bugün, bir PowerShell komut dosyasına dayanan bir başka hesap ele geçirme yöntemini inceleyeceğiz.

“Windows Telemetri Update” adıyla aldatıcı bir şekilde adlandırılan bu komut dosyası, aslında Telegram oturumlarını ele geçirmek için bir araç işlevi görüyor. Tamamen savunmasız bilgisayarlardan veri toplayarak Telegram botu aracılığıyla saldırganlara iletiyor.

İçinde bir veri hırsızı barındıran zararlı bir komut dosyası

Siber suçlular, zararlı yazılımları gizlice indirmek veya veri toplamak için sıklıkla PowerShell komut dosyalarına başvururlar. Bu kez araştırmacılar, Pastebin’de sıradan bir Windows güncellemesi gibi görünen bir komut dosyası ortaya çıkardılar. Aslında bu, Windows için Telegram oturum verilerini ele geçirmek ve bilgisayar korsanlarının ne parola ne de doğrulama kodu olmadan hesapları ele almalarına olanak sağlamak üzere tasarlanmış bir bilgi hırsızı yazılımıydı.

PowerShell komut dosyası nedir? Bunu, bir Windows bilgisayarı için komutlarla dolu bir metin dosyası olarak düşünün. Bir kişinin görevleri manuel olarak tek tek tıklayarak zaman harcaması yerine, bilgisayar bu kısa talimatları izleyerek her şeyi saniyeler içinde otomatik olarak halleder.

Bu PowerShell komut dosyası, Windows için Telegram oturum verilerini ele geçirerek, bilgisayar korsanlarının ne parola ne de doğrulama kodları olmadan hesapları ele almalarına olanak tanıyor.

Bu PowerShell komut dosyası, Windows için Telegram oturum verilerini ele geçirerek, bilgisayar korsanlarının ne parola ne de doğrulama kodları olmadan hesapları ele almalarına olanak tanıyor.

Araştırmacılar, komut dosyasının en başında, tdata klasörüne yapılan çok sayıda atfın yanı sıra bir Telegram bot belirteci ve bir sohbet kimliğini hemen fark ettiler. Telegram for Windows, kullanıcıları sunucularına giriş yapmaları için kullanılan yetkilendirme anahtarlarını bu klasörde saklar. Saldırganlar bu verileri ele geçirirlerse, kurbanın Telegram hesabına parola veya doğrulama kodu olmadan erişebilirler. Sisteme girdikten sonra, kurban uygulamadaki aktif oturumlarını kontrol edip şüpheli olanları manuel olarak sonlandırana kadar erişimlerini sürdürürler.

Hırsızın çalışma şekli

Zararlı yazılım, Windows telemetri güncellemesi için bir PowerShell komut dosyası kılığına girerek kurbanın bilgisayarına sızar. Çalışır çalışmaz kullanıcı adı, ana bilgisayar adı ve genel IP adresi gibi temel sistem bilgilerini toplar. Ardından Telegram Desktop’un kurulu olup olmadığını kontrol eder. Kurulu ise, komut dosyası uygulamayı kapatmaya zorlar. Böylece Telegram dosyalarının düzenleme için kilidini açabilir.

Bundan sonrası oldukça basittir: Komut dosyası, tdata klasörünün tüm içeriğini geçici bir dizine sıkıştırır, arşivi doğrudan saldırganlara iletir ve izlerini gizlemek için dosyayı bilgisayardan siler.

İyi haber şu ki, uzmanlar gerçek veri aktarımına dair herhangi bir kanıt bulamadıkları için, bu hırsızın henüz hiçbir hesabı ele geçirmediği düşünülüyor. Görünüşe göre araştırmacılar, bu zararlı PowerShell komut dosyasını henüz prototip test aşamasındayken tespit etmişler.

Bir başka ipucu da şaşırtıcı derecede şüpheli olan adıdır. Siber suçlular, botlarını ve uygulamalarını gizlemek için genellikle tarafsız isimler kullanır. Bu durumda, araştırmacılar onu keşfettiklerinde bot, afhbhfsdvfh_bot takma adıyla çalışıyor ve üzerinde son derece dürüst bir açıklama bulunuyordu: Telegram saldırganı. Araştırmacılar, botun muhtemelen işlevsel testlerden geçmiş olmasına rağmen henüz geniş ölçekte devreye alınmadığını belirtiyor; bu da geçici adın nedenini açıklıyor.

PowerShell komut dosyalarına karşı nasıl koruma sağlanır?

Bu isimsiz hırsıza karşı korunmak için çok katmanlı bir güvenlik yaklaşımı gereklidir. Öncelikle, bir PowerShell komut dosyasının bilgisayarınıza nasıl geldiğini anlamak faydalı olacaktır. Genellikle, kötü amaçlı e-posta ekleri, yazılım açıkları, virüs bulaşmış uygulamalar ya da sosyal mühendislik hileleri yoluyla fark edilmeden sisteme sızarlar. Bu nedenle, cihazınıza güvenilir bir güvenlik paketi yüklemenizi ve tıkladığınız bağlantılar ile indirdiğiniz dosyalar konusunda son derece dikkatli olmanızı öneririz.

  • Ne indirdiğinize dikkat edin. Dosya indirmek için kullandığınız web sitelerini her zaman iki kez kontrol edin. Sadece güvenilir, resmi kaynaklara başvurun. Telegram ve Discord kanallarının yanı sıra, şüpheli ve bir gecede ortaya çıkıp kaybolan web sitelerinin kesinlikle bu tanıma uymadığını unutmayın.
  • E-postalardaki bağlantılara ve ek dosyalara dikkat edin. E-postanın siber suçlular için hâlâ en çok tercih edilen iletişim yöntemi olduğunu unutmayın. PowerShell komut dosyasını ek olarak doğrudan gelen kutunuza bırakabilirler ya da sizi, otomatik indirmeyi tetikleyen bir bağlantıya tıklamaya yönlendirebilirler.
  • Uygulamalarınızı ve işletim sisteminizi güncel tutun. Yazılım güvenlik açıkları beklenmedik bir şekilde ortaya çıkar, ancak yamalar genellikle çok hızlı bir şekilde yayınlanır. Güncellemeler yayınlanır yayınlanmaz bunları yüklemenizi öneririz. Hayatınızı kolaylaştırmak için, mümkün olduğunca otomatik güncellemeleri etkinleştirin.

Telegram’ı kullandığınız her cihaza mutlaka Kaspersky Premium yükleyin. Güvenlik çözümümüz; zararlı yazılımları, zararlı ekleri, spam’leri, kimlik avı girişimlerini ve şüpheli web sitelerini engelleyecektir. Kaspersky Premium aboneliği ayrıca bir parola yöneticisi de içerir. Bu uygulama güçlü ve benzersiz parolalar oluşturur ve bunları güvenli bir şekilde saklar, sahte sitelere kimlik bilgilerinizi girmenizi engeller ve Telegram güvenliğinizi artırmak için de oldukça kullanışlıdır; bu konuyu bir sonraki bölümde ele alacağız.

Telegram hesabınızı nasıl güvence altına alabilirsiniz?

Telegram hesabınızı bu tür ele geçirme girişimlerinden korumak için aşağıdakileri yapmanızı öneririz:

  • Telegram’daki etkinliklerinizi düzenli olarak takip edin. Sonuçta, bilgisayar korsanları hesapları ele geçirerek spam mesajları yaymak ve dolandırıcılık yapmak amacıyla kullanırlar. Zaman zaman sohbet geçmişinizi kontrol ederek, sizin tarafınızdan gönderilmeyen yeni sohbetler veya mesajlar olup olmadığını kontrol etmeniz iyi bir fikirdir.
  • Tanınmayan oturumları derhal sonlandırın. Bu bilgi hırsızı veya başka herhangi bir siber saldırının kurbanı olduğunuzdan şüpheleniyorsanız, AyarlarCihazlarDiğer tüm oturumları sonlandır seçeneğine giderek diğer tüm Telegram oturumlarını mümkün olan en kısa sürede sonlandırın.

Telegram hesabınız zaten ele geçirilmişse, saldırganların oturumlarını sonlandırarak onları hesabınızdan atmak için 24 saatlik bir süreniz vardır. Bu kuralın neden var olduğunu ve hesabınızı geri alabilmek için her türlü yolu Telegram hesabınız saldırıya uğrarsa ne yapmalısınız? başlıklı ayrıntılı kılavuzumuzda detaylı olarak açıkladık.

Bu arada, hesap güvenliğinizi artırmak bir zorunluluktur. Öncelikle, AyarlarGizlilik ve Güvenlikİki Adımlı Doğrulama bölümüne giderek bir bulut parolası oluşturun. Herhangi bir parola yeterli olmaz; benzersiz ve kırılamayacak bir şeye ihtiyacınız vardır. Bu konuyla ilgili Unutulmayacak bir parola oluşturma başlıklı yazımızı okumanızı tavsiye ederiz.

Daha da iyisi, geçiş anahtarlarına geçin. Bu, veri sızıntılarına ve kimlik avına karşı en üst düzeyde koruma sağlayan, şifresiz bir teknolojidir. Bu oturum açma yöntemini ayarlamak için AyarlarGizlilik ve GüvenlikGeçiş Anahtarları bölümüne gidin. Geçiş anahtarlarınızı yönetmenin en kolay yolu Kaspersky Password Manager uygulamamızdır. Platformlar arası uygulamamız; ister Windows, ister Android, ister iOS, ister macOS kullanıyor olun, kaydedilmiş geçiş anahtarlarınızı kullanarak Telegram’a sorunsuz bir şekilde giriş yapmanızı sağlar.

Siber suçluların Telegram hesabınıza nasıl sızabileceğini ve hesabınızı nasıl güvenli hale getirebileceğinizi öğrenmek için diğer yazılarımıza göz atın:

İpuçları

Her iki paroladan biri (neredeyse) bir dakikadan kısa sürede kırıldı

İki yıl önce ilk kez gerçekleştirdiğimiz, karanlık ağda sızdırılan gerçek hayattaki parolaların kırılabilirliğine ilişkin çalışmamızı yeniden ele aldık. Sonuçlar düşündürücü: Parolaların neredeyse yarısı bir dakikadan kısa sürede kırılabilirken, beş paroladan üçü bir saatten az sürede kırılıyor. Güvenli olmayan parolalardan nasıl kurtulabiliriz?