Siber suçlular, sahte bir “Telegram Premium” web sitesi üzerinden yeni bir Lumma Stealer virüsünü sessizce dağıtan bir saldırı başlattı.
Buna göre, “telegrampremium.app” adlı alan adı, orijinal Telegram Premium markasını neredeyse birebir taklit ediyor ve kullanıcıların siteyi ziyaret etmesi halinde hiçbir tıklama gerekmeden otomatik olarak bir dosya indiriliyor. Yani sadece siteye girmeniz bile korsanların eline düşmeniz için yeterli. Dolayısıyla merak edip de girmeye çalışmanızı da tavsiye etmiyoruz.
İndirilen bu dosya, “start.exe” adlı bir çalıştırılabilir dosya; yürütüldüğünde parola depoları, kripto cüzdan verileri ve sistem bilgileri gibi hassas verileri çalıyor.
Bu yöntem, “drive-by download” yani kullanıcının farkında olmadan dosyanın indirilip çalıştırılması mantığıyla işliyor. Ayrıca, çalışan dosya yüksek karmaşıklıktaki kriptolu yapısıyla antivirüs yazılımlarının tespitinden kolayca kaçabiliyor.
Program, Windows API fonksiyonlarını kullanarak kayıt defterine müdahale ediyor, panoya erişiyor, ek zararlı bileşenler yükleyerek izlerini silmeye çalışıyor ve DNS üzerinden gizli iletişim kanallarını açarak komuta kontrol sistemleriyle bağlantı kuruyor.
Nasıl korunabiliriz?
Saldırı, düşük düzeyde kullanıcı etkileşimi gerektirmesi ve yüksek teknolojili gizlenme teknikleriyle dikkat çekiyor. Son derece tehlikeli bir infostealer türü olan Lumma Stealer’ı kullanan bu yöntem, veri hırsızlığı ve kimlik sahtekârlığı risklerini ciddi düzeye çıkarıyor.
Uzmanlar kuruluşlara, saldırıyı tespit edebilecek gelişmiş uç nokta izleme sistemleri (EDR), zararlı alan adlarına erişimi engelleme, sık şifre güncellemeleri ve çok faktörlü kimlik doğrulaması (MFA) uygulaması gibi önlemler alınması gerektiğini belirtiyorlar.
