WhatsApp üzerinden yayılıyor: Virüsle bilgileriniz çalınmış olabilir
Siber güvenlik araştırmacıları, dünya genelindeki kurumsal ağları hedef alan ve ana kanal olarak WhatsApp’ı kullanarak kendini çabucak çoğaltabilen yeni bir zararlı yazılım tespit etti.
İlk olarak geçen ayın başında Brezilya’daki kurumları hedef alırken ortaya çıkan SORVEPOTEL adlı yazılım, sosyal mühendislik ile otomatik yayılımı birleştiriyor.
Yazılım, veri hırsızlığı ya da fidye saldırısı amacı gütmek yerine, olabildiğince geniş bir alana yayılarak operasyonel aksaklıklara yol açmayı hedefliyor.
Trend Research tarafından yayımlanan verilere göre, tespit edilen 477 virüs vakasının 457’si Brezilya’da yoğunlaşıyor.
Saldırıdan en çok etkilenenler kamu kurumları ve devlet hizmetleri olurken üretim, teknoloji, eğitim ve inşaat sektörlerindeki şirketler de hedefler arasında yer alıyor.
Saldırganların özellikle masaüstü oturumlarını hedef alması, kurumsal ağlardaki etkiyi artırma amacını taşıyor. SALDIRI TANIDIK BİR HESAPTAN GELEN MESAJLA BAŞLIYOR
SORVEPOTEL’in yayılma süreci, kurbanın WhatsApp üzerinden bir meslektaş veya arkadaş gibi güvendiği bir kişiden gelen oltalama mesajıyla başlıyor.
Portekizce yazılan bu mesajlarda, “baixa o zip no PC e abre” (ZIP’i indir ve aç) gibi yönlendirmeler bulunuyor.
Cyber Security News portalının haberine göre mesajlar, “RES-20250930_112057.zip” veya “ORCAMENTO_114418.zip” gibi fatura ya da bütçe belgesi izlenimi veren adlara sahip sıkıştırılmış dosyalar içeriyor.
Bazı vakalarda e-postanın da alternatif bir bulaşma kanalı olarak kullanıldığı belirlendi.
“Documento de Rafael B” veya “Extrato” gibi başlıklarla gönderilen e-postalarda, “COMPROVANTE_20251001_094031.zip” ve “ComprovanteSantander-75319981.682657420.zip” gibi güvenilir kurumları taklit eden dosya adlarına sahip ekler yer aldı.
KISAYOL DOSYALARINA GİZLENİYOR
Kullanıcı zararlı ZIP arşivini açtığında, masum bir belge gibi görünen ancak aslında bir Windows kısayol dosyası (.LNK) olan bir tuzakla karşılaşıyor.
Bu LNK dosyaları, zararsız görünümleri sayesinde antivirüs yazılımlarının temel taramalarından kaçabiliyor.
Dosya çalıştırıldığında, arka planda gizli bir pencerede PowerShell veya komut satırı betiği tetikleniyor. Bu betik, saldırganların kontrolündeki “sorvetenopoate[.]com”, “expahnsiveuser[.]com” ve “sorvetenopotel[.]com” gibi alan adlarından ana zararlı yükü indiriyor.
İndirilen ana yük, genellikle Windows’un başlangıç klasörüne kendini kopyalayan bir toplu komut dosyası (.BAT) oluyor.
Bu sayede yazılım, bilgisayar her yeniden başlatıldığında otomatik olarak çalışarak sistemde kalıcılık sağlıyor.
Ardından, Base64 ile kodlanmış PowerShell komutları aracılığıyla komuta-kontrol (C&C) sunucularına bağlanıyor. Bu sunuculardan aldığı ek zararlı bileşenleri doğrudan bellekte çalıştırıyor.
Söz konusu yöntem, sabit diske veri yazılmadığı için saldırının geride bıraktığı delilleri azaltıyor.
Uzmanlar, bu tür tehditlere karşı hem kurumsal hem de bireysel düzeyde tedbirler alınması gerektiğini vurguluyor. WHATSAPP WEB OTURUMLARINI ELE GEÇİRİYOR
SORVEPOTEL’i diğer zararlı yazılımlardan ayıran en belirgin özellik, bulaştığı bilgisayardaki aktif WhatsApp web oturumlarını taraması.
Doğrulanmış bir oturum tespit ettiğinde, aynı zararlı ZIP dosyasını ele geçirdiği hesabın tüm kişi ve gruplarına otomatik olarak gönderiyor.
Bu otomatik yönlendirme mekanizması, yazılımın üstel bir hızla yayılmasına neden oluyor.
Zararlı yazılım, aynı zamanda çok sayıda WhatsApp hesabının hizmet koşullarını ihlal eden spam faaliyeti nedeniyle platform tarafından askıya alınmasına neden oldu.
Saldırganlar, operasyonlarının izini kaybettirmek için çok katmanlı bir gizleme (obfuscation) stratejisi kullanıyor.
Alan adlarında Portekizcede bir tür dondurma anlamına gelen “sorvete no pote” ifadesini taklit eden isimler tercih ediliyor.
Ayrıca, yürütülen komutlar çeşitli şifreleme ve kodlama katmanlarıyla gizleniyor. Araştırmacılar, “cliente[.]rte[.]com[.]br” gibi başka alan adlarının da dağıtım altyapısına dahil edildiğini tespit etti; bu ise saldırının dinamik olarak evrildiğini gösteriyor.
KORUNMA YÖNTEMLERİ NELER?
SORVEPOTEL saldırısı, popüler mesajlaşma platformlarının kötüye kullanılarak ne kadar hızlı ve etkili bir yayılma aracı haline gelebileceğini bir kez daha ortaya koydu.
Siber güvenlik portalı GBHackers, kurumların öncelikle güçlü oltalama koruma sistemleri kurmasını, yetkisiz kısayol dosyalarının çalıştırılmasını engelleyecek uç nokta güvenlik politikaları uygulamasını ve WhatsApp web gibi platformlardaki olağan dışı etkinlikleri izlemesini öneriyor.
Ayrıca, çalışanlara yönelik düzenli siber güvenlik farkındalık eğitimleri düzenlenmesi, en kritik savunma hatlarından biri olarak öne çıkıyor.
Mevcut saldırı dalgası doğrudan yıkıcı bir etki yaratmaktan çok yayılmaya odaklansa da Brezilya’da daha önce yaşanan finansal veri hırsızlığı vakalarıyla benzerlikler taşıması, gelecekteki saldırıların daha tehlikeli olabileceğine işaret ediyor.
Kullanıcıların, özellikle tanıdıklarından gelse bile, mesajlaşma uygulamaları üzerinden gelen şüpheli dosya eklerini açarken son derece temkinli davranmaları tavsiye ediliyor.
