Ticaret botları dolandırıcılığı: Vietnamlı hackerlar uluslararası operasyon için Telegram’ı kullanıyor

Önemli bilgiler

• Hackerlar şimdi PXA Stealer kötü yazılımı ile çalışan ticaret botlarını Telegram üzerinden dağıtıyor.
• 62 ülkeden mağdurların kripto cüzdan anahtarları dahil verileri çalındı.
• Telegram botları veri hırsızlığını ve yeniden satışını otomatikleştirmek için kullanılıyor.

Yeni bir siber suç dalgası hızla yayılıyor. Bu sefer, ticaret botları, bilgi hırsızı kötü yazılımı… ve Telegram tarafından destekleniyor.

SentinelOne ve Beazley Security Labs’in araştırmacılarına göre, Vietnamca konuşan hackerları içeren büyük bir veri hırsızlığı operasyonu şu anda devam ediyor.

Grup, çalınan bilgilerin yeniden satışını otomatikleştirmek ve PXA Stealer kötü yazılımını uluslararası düzeyde dağıtmak için Telegram’ı kullanıyor.

Ticaret botları ve PXA stealer birlikte nasıl çalışıyor

Söz konusu operasyon 60’tan fazla ülkeyi kapsıyor. Hem bireyleri hem de kuruluşları hedefliyor ve onu diğer dolandırıcılık şebekelerinden ayıran şey, hizmet olarak kötü yazılım (MaaS) taktiklerini ve Telegram botlarını birleştirmesi.

Basitçe söylemek gerekirse, yeni (ve hatta deneyimsiz) siber suçluların katılması için engel artık yeterince düşük.

Kampanyanın arkasında, sessizce değerli kullanıcı verilerini toplayan Python tabanlı bir bilgi hırsızı kötü yazılımı olan ünlü PXA Stealer var.

Bir sisteme girdiğinde, şifreleri, kredi kartı bilgilerini, kripto cüzdan anahtarlarını, tarayıcı çerezlerini ve hatta ekran görüntülerini ele geçiriyor.

Ardından her şeyi doğrudan Telegram aracılığıyla saldırganlara gönderiyor.

Sentinel Labs’in raporuna göre, mağdurlar genellikle Microsoft Word veya PDF okuyucular gibi meşru yazılımlara benzeyen ZIP dosyaları alıyor.

Dosyalar açıldığında, PXA Stealer programını tetikliyor ve program çalınan verileri toplayıp ZIP dosyalarına sıkıştırmaya başlıyor. Bu işlem tamamlandığında, dosyalar hackerların kontrol ettiği Telegram botlarına gönderiliyor.

Bu yöntem anonim ve kullanımı kolay olduğu için tercih ediliyor. Hackerlara çok az çaba ile büyük operasyonları yönetme imkanı sağlıyor.

Komuta ve kontrol merkezi olarak Telegram

Telegram bu durumda sadece bir mesajlaşma uygulaması değil. Tam teşekküllü bir komuta ve kontrol (C2 olarak da bilinen) merkezine dönüşmüş durumda.

Hackerlar bunu çalınan verileri gerçek zamanlı olarak almak ve çalınan kimlik bilgilerinin yeniden satışını otomatikleştiren botları çalıştırmak için kullanıyor.

Ayrıca mesajlaşma servisini diğer saldırganlarla iletişim kurmak ve ZIP kötü yazılım kitlerini ve diğer bilgi hırsızı araçlarını satmak için kullanıyorlar.

Sentinel Labs, “Sherlock,” “Moon Cloud” ve “Daisy Cloud” gibi Telegram botları kullandıklarını belirtti. Bu araçlar, finansal dolandırıcılık, kripto hırsızlığı veya diğer sızma türleriyle ilgilenen alıcılar için çalınan verileri hazır hale getiriyor.

Ticaret botları dolandırıcılığının etkileri

Şimdiye kadar, çalınan kayıtlarda 4.000’den fazla IP adresi tespit edildi. Ele geçirilen veriler arasında 200.000’den fazla şifre ve yüzlerce kredi kartı kaydı bulunuyor.

Ayrıca saldırganların çevrimiçi oturumları ele geçirmesine olanak tanıyan 4 milyondan fazla tarayıcı çerezi de açığa çıktı.

Artık şifreleri tamamen bypass edebiliyor ve ABD, Güney Kore, Avusturya ve Hollanda gibi ülkelerdeki mağdurlara saldırabiliyorlar.

Sadece Temmuz ayında, Microsoft Word yürütülebilir dosyası olarak gizlenmiş yeni bir oltalama tuzağı tespit edildi. Bu dosya antivirüs araçlarını atlatacak şekilde tasarlanmıştı ve şüpheli bağlantılar içermiyordu.

Bu operasyon tek seferlik değil. Büyüyen bir trendin parçası ve birkaç hacker grubu artık kârlarını artırmak için paylaşılan araçları ve bot ağlarını kullanarak dolandırıcılık yapmak üzere işbirliği yapıyor.

Önleme ve Yapabilecekleriniz

SentinelOne araştırmacıları, kötü yazılımın hala aktif geliştirme aşamasında olduğu konusunda uyarıyor. Bu, yeni sürümlerin tespit edilmesinin daha zor olduğu ve hatta yeni özelliklerle gelebileceği anlamına geliyor.

Korunmak için bilinmeyen kaynaklardan gelen ZIP dosyalarını açmaktan kaçının, şüpheli bağlantılardan yazılım yüklemeyin ve özellikle Telegram alan adlarına giden tüm dış trafiği izleyin.

Son olarak, her zaman Python tabanlı kötü yazılımları tespit edebilen antivirüs yazılımı kullanın ve oltalama ve ZIP kötü yazılım riskleri hakkında güncel kalın.

Kuruluşlar ayrıca şirket sistemlerinde Telegram kullanımını sınırlamalı ve her türlü olağandışı kullanıcı davranışını izlemelidir.