Soxta Telegram sayti orqali xavfli virus tarqalmoqda — ogoh bo‘ling!

Bugungi kunda kiberjinoyatchilar tobora murakkablashib borayotgan usullar orqali oddiy foydalanuvchilarni nishonga olmoqda. Yaqinda aniqlangan yangi kiberhujum bunga yaqqol misol bo‘lib, unda Telegram nomidan foydalanilgan holda foydalanuvchilarga zararli dastur tarqatilmoqda. Ushbu hujum oddiy ko‘rinish ortida nihoyatda xavfli texnikani yashiradi.

Soxta sayt — haqiqiy xavf manbai

Hujumchilar telegrgam.com kabi asl manzilga juda o‘xshash domenlardan foydalanib, foydalanuvchilarni chalg‘itmoqda. Birgina harfdagi farq ko‘pchilik tomonidan sezilmay qoladi va natijada foydalanuvchi o‘zini rasmiy saytga kirgandek his qiladi.

Soxta sahifada foydalanuvchiga odatiy o‘rnatish fayli sifatida ko‘rinadigan “tsetup-x64.6.exe” yuklab olish taklif etiladi. Tashqi ko‘rinishidan u haqiqiy dasturdan deyarli farq qilmaydi, bu esa hujum samaradorligini oshiradi.

Ko‘p bosqichli zararli yuklama mexanizmi

Mazkur tahdidning eng xavfli jihati — uning ko‘p bosqichli (multi-stage) yuklama tizimidir. Oddiy zararli fayldan farqli ravishda, bu dastur bir necha bosqichda ishlaydi:

  1. Tizimni tekshirish – dastur avval tizimda mavjud jarayonlarni tekshiradi
  2. Himoyani zaiflashtirish – Windows Defender sozlamalariga yashirin o‘zgartirishlar kiritadi
  3. Yordamchi fayllarni joylashtirish – tizim papkalariga yashirin komponentlar joylashtiriladi
  4. Asosiy zararli kodni ishga tushirish – diskka yozmasdan, to‘g‘ridan-to‘g‘ri xotirada ishga tushiriladi

Aynan shu oxirgi bosqich ushbu tahdidni yanada xavfli qiladi.

Xotirada ishlovchi zararli kod — aniqlash qiyin tahdid

Zararli dastur o‘zining asosiy qismini diskka yozmaydi. Buning o‘rniga u “in-memory execution” deb ataluvchi usuldan foydalanadi — ya’ni kod to‘g‘ridan-to‘g‘ri operativ xotirada ishga tushiriladi.

Natijada:

  • an’anaviy antiviruslar faylni topa olmaydi
  • tizimda aniq izlar qolmaydi
  • zararli faoliyat yashirin tarzda davom etadi

Bu usul zamonaviy kiberhujumlarda tobora keng qo‘llanilmoqda.

Ishonchli jarayonlar ortida yashirinish

Zararli DLL fayl rundll32.exe orqali ishga tushiriladi — bu Windows tizimidagi ishonchli utilita hisoblanadi. Shu sababli zararli faoliyat oddiy tizim jarayonidek ko‘rinadi va ko‘plab himoya vositalarini chalg‘itadi.

Dastur shuningdek, o‘zini yashirish uchun:

  • tizim registrida maxsus belgilar qoldiradi
  • foydalanuvchi e’tiborini chalg‘itish uchun haqiqiy Telegram dasturini ham o‘rnatadi

Masofaviy boshqaruv va doimiy nazorat

Zararli kod ishga tushgach, u boshqaruv serveriga ulanadi (C2 — Command and Control). Bu orqali hujumchilar:

  • yangi buyruqlar yuborishi
  • qo‘shimcha zararli modullar yuklashi
  • foydalanuvchini doimiy kuzatib borishi

mumkin bo‘ladi.

Bu esa tizimning to‘liq nazorat ostiga o‘tganini anglatadi.

Bir nechta soxta domenlar orqali keng tarqalish

Tadqiqotchilar ushbu kampaniya doirasida bir nechta o‘xshash domenlar aniqlanganini ma’lum qilmoqda, jumladan:

  • telefgram.com
  • tejlegram.com

Bu hujumchilarning keng qamrovli strategiya asosida ishlayotganini ko‘rsatadi.

Qanday himoyalanish mumkin?

Bunday tahdidlardan himoyalanish uchun quyidagi oddiy, ammo muhim qoidalarga amal qilish zarur:

  • dasturlarni faqat rasmiy manbalardan yuklab olish
  • sayt manzilini diqqat bilan tekshirish
  • shubhali fayllarni ishga tushirmaslik
  • antivirus va himoya vositalarini doimiy yangilab borish
  • tarmoq trafikini monitoring qilish

Ushbu kampaniya oddiy xatolik — noto‘g‘ri yozilgan URL manzili — qanday qilib jiddiy kiberhujumga sabab bo‘lishi mumkinligini yana bir bor isbotlaydi. Bu yerda murakkab ekspluatatsiyadan ko‘ra, inson omili va vizual aldov asosiy rol o‘ynaydi.

Zamonaviy tahdidlar endi nafaqat texnik zaifliklarga, balki foydalanuvchilarning e’tiborsizligiga ham tayanmoqda. Shu bois, kiberxavfsizlik bugungi kunda nafaqat texnologiya, balki hushyorlik va ongli foydalanish madaniyatidir.