Siber hatalılar, geçersiz bir “Telegram Premium” web sitesi üzerinden yeni bir Lumma Stealer virüsünü sessizce dağıtan bir hücum başlattı.

Buna nazaran, “telegrampremium.app” isimli alan ismi, yepyeni Telegram Premium markasını neredeyse birebir taklit ediyor ve kullanıcıların siteyi ziyaret etmesi halinde hiçbir tıklama gerekmeden otomatik olarak bir belge indiriliyor. Yani yalnızca siteye girmeniz bile korsanların eline düşmeniz için kâfi. Hasebiyle merak edip de girmeye çalışmanızı da tavsiye etmiyoruz.

İndirilen bu evrak, “start.exe” isimli bir çalıştırılabilir evrak; yürütüldüğünde parola depoları, kripto cüzdan dataları ve sistem bilgileri üzere hassas dataları çalıyor.

Bu formül, “drive-by download” yani kullanıcının farkında olmadan evrakın indirilip çalıştırılması mantığıyla işliyor. Ayrıyeten, çalışan evrak yüksek karmaşıklıktaki kriptolu yapısıyla antivirüs yazılımlarının tespitinden kolay kolay kaçabiliyor.

Program, Windows API işlevlerini kullanarak kayıt defterine müdahale ediyor, panoya erişiyor, ek ziyanlı bileşenler yükleyerek izlerini silmeye çalışıyor ve DNS üzerinden saklı bağlantı kanallarını açarak komuta denetim sistemleriyle ilişki kuruyor.

Nasıl korunabiliriz?

Saldırı, düşük seviyede kullanıcı etkileşimi gerektirmesi ve yüksek teknolojili gizlenme teknikleriyle dikkat çekiyor. Son derece tehlikeli bir infostealer çeşidi olan Lumma Stealer’ı kullanan bu formül, bilgi hırsızlığı ve kimlik sahtekârlığı risklerini önemli seviyeye çıkarıyor.

Uzmanlar kuruluşlara, saldırıyı tespit edebilecek gelişmiş uç nokta izleme sistemleri (EDR), ziyanlı alan isimlerine erişimi engelleme, sık şifre güncellemeleri ve çok faktörlü kimlik doğrulaması (MFA) uygulaması üzere tedbirler alınması gerektiğini belirtiyorlar.