Telegram Üzerinden Dağıtılan Yeni Zararlı Yazılım Kampanyası Binlerce Kullanıcıyı Etkiliyor
Nisan 2026’nın ortasında tespit edilen yeni bir zararlı yazılım kampanyası, Telegram platformu üzerinden hızla yayılıyor. Güvenlik araştırmacılarına göre saldırılar özellikle 16-20 Nisan tarihleri arasında yoğunlaşırken, ilk bulgular Doğu Avrupa ve Orta Doğu merkezli kullanıcıların hedef alındığını gösteriyor.
Saldırganlar, Telegram kanalları ve grupları üzerinden “crack yazılım”, “ücretsiz premium araçlar” ve “oyun mod paketleri” gibi içerikler paylaşarak kullanıcıları zararlı dosyaları indirmeye yönlendiriyor. Paylaşılan dosyalar genellikle güvenilir yazılımlar gibi görünse de arka planda zararlı payload barındırıyor.
Saldırı Zinciri Nasıl İşliyor?
Saldırı genellikle Telegram üzerinde paylaşılan bir bağlantı veya doğrudan gönderilen bir dosya ile başlıyor. Kullanıcı dosyayı indirdiğinde, çoğu zaman sıkıştırılmış (ZIP/RAR) bir paket ile karşılaşıyor. Bu paket içerisinde sahte bir kurulum dosyası bulunuyor.
Dosya çalıştırıldığında, kullanıcıya normal bir kurulum süreci gösterilirken arka planda zararlı yazılım sisteme yerleşiyor. Bu süreçte Windows Defender ve benzeri güvenlik çözümlerini atlatmak için çeşitli obfuscation ve packing teknikleri kullanılıyor.
Teknik Analiz: Hangi Zararlılar Kullanılıyor?
İlk analizlere göre kampanyada birden fazla zararlı yazılım ailesi kullanılıyor. Bunlar arasında özellikle bilgi çalan (infostealer) ve uzaktan erişim sağlayan (RAT - Remote Access Trojan) zararlılar öne çıkıyor.
Infostealer bileşenleri, tarayıcı tabanlı verileri hedef alıyor. Chrome, Edge ve Firefox gibi tarayıcılarda kayıtlı şifreler, oturum çerezleri, kredi kartı bilgileri ve kripto cüzdan verileri hedefleniyor.
RAT bileşenleri ise saldırganlara cihaz üzerinde kalıcı erişim sağlıyor. Bu sayede ekran görüntüsü alma, tuş kaydı (keylogging), dosya erişimi ve ek zararlı yükleme gibi işlemler gerçekleştirilebiliyor.
Neden Telegram?
Telegram, uçtan uca şifreleme, büyük dosya paylaşımı ve geniş kullanıcı kitlesi nedeniyle saldırganlar için ideal bir dağıtım platformu haline gelmiş durumda. Ayrıca platform üzerindeki anonimlik seviyesi, saldırganların tespit edilmesini zorlaştırıyor.
Saldırganlar, özellikle büyük üye sayısına sahip açık grupları kullanarak zararlı içerikleri hızlı bir şekilde yayabiliyor.
Saldırıların Arkasında Kimler Olabilir?
Uzmanlara göre bu kampanya, organize siber suç grupları tarafından yürütülüyor. Özellikle daha önce benzer infostealer kampanyalarıyla ilişkilendirilen grupların kullandığı tekniklerle benzerlikler tespit edilmiş durumda.
Bu tür kampanyalar genellikle finansal kazanç amacıyla gerçekleştirilirken, ele geçirilen veriler dark web üzerinde satışa sunulabiliyor.
Gerçek Dünya Etkisi
Ele geçirilen veriler yalnızca bireysel kullanıcıları değil, aynı zamanda kurumsal sistemleri de riske atıyor. Özellikle iş bilgisayarlarında kullanılan tarayıcı verilerinin çalınması, şirket ağlarına yetkisiz erişim sağlanmasına yol açabilir.
Nasıl Korunulabilir?
Uzmanlar, Telegram üzerinden indirilen dosyalara karşı son derece dikkatli olunması gerektiğini vurguluyor. Özellikle “crack” veya ücretsiz premium içerik vaat eden dosyalar yüksek risk taşıyor.
Güncel bir antivirüs yazılımı kullanmak, bilinmeyen kaynaklardan gelen dosyaları çalıştırmamak ve sistem aktivitelerini düzenli olarak izlemek, bu tür saldırılara karşı temel koruma yöntemleri arasında yer alıyor.
Zararlı Yazılım Ekosistemi Genişliyor
Bu kampanya, zararlı yazılım dağıtım yöntemlerinin sürekli evrim geçirdiğini gösteriyor. Geleneksel e-posta tabanlı saldırıların yanı sıra, artık mesajlaşma platformları da aktif olarak kullanılıyor.
Uzmanlara göre önümüzdeki dönemde Telegram ve benzeri platformlar üzerinden gerçekleştirilen saldırıların artması bekleniyor.