Dikkat! WhatsApp'ta yayılan bu virüs, bilgilerinizi tehlikeye atabilir!
WhatsApp Üzerinden Yayılıyor: Yeni Zararlı Yazılımın Tehdidi
Siber güvenlik uzmanları, dünya genelinde kurumsal ağları hedef alarak WhatsApp üzerinden hızla yayılan yeni bir kötü amaçlı yazılımı tespit etti.
Geçen ayın başlarında Brezilya'daki kuruluşları hedef alarak ortaya çıkan SORVEPOTEL adlı zararlı yazılım, sosyal mühendislik yöntemleri ile otomatik yayılmayı birleştiriyor.
Bu yazılım, veri hırsızlığı ya da fidye talebi gibi amaçlar gütmek yerine geniş bir alana yayılmayı ve operasyonel aksaklıklara neden olmayı hedefliyor.
Trend Research tarafından yayımlanan verilere göre, tespit edilen 477 zararlı yazılım vakasının 457'si Brezilya'da yoğunlaşmakta.
Saldırıdan en fazla etkilenen kurumlar arasında kamu kurumları ve devlet hizmetleri yer alırken, üretim, teknoloji, eğitim ve inşaat sektörlerindeki şirketler de hedefler arasında bulunuyor.
Saldırganların özellikle masaüstü oturumlarına saldırması, kurumsal ağlardaki etkiyi artırmayı amaçlıyor.
SALDIRI TANIDIK BİR HESAPTAN GELEN MESAJLA BAŞLIYOR
SORVEPOTEL'in yayılma süreci, kurbanın WhatsApp üzerinden güvendiği bir arkadaşından veya meslektaşından gelen oltalama mesajı ile başlıyor.
Portekizce yazılan bu mesajlarda, "baixa o zip no PC e abre" (ZIP'i indir ve aç) gibi direktifler yer alıyor.
Cyber Security News portalının haberine göre, bu mesajlar "RES-20250930_112057.zip" veya "ORCAMENTO_114418.zip" gibi fatura veya bütçe belgesi izlenimi veren dosyalar içeriyor.
Bazı vakalarda e-posta da alternatif bir bulaşma kanalı olarak kullanılıyor. Örneğin, "Documento de Rafael B" veya "Extrato" gibi başlıklarla gönderilen e-postalarda, güvenilir kurumları taklit eden dosya adlarına sahip ekler bulunuyor.
KISAYOL DOSYALARINA GİZLENİYOR
Kullanıcı, zararlı ZIP arşivini açtığında, masum bir belge gibi gözüken ama aslında bir Windows kısayol dosyası (.LNK) olan bir tuzakla karşılaşıyor.
Bu dosyalar, zararsız görünmeleri nedeniyle antivirüs yazılımlarının temel taramalarından kaçabiliyor.
Dosya çalıştırıldığında, arka planda gizli bir pencerede PowerShell veya komut satırı betiği tetikleniyor. Bu betik, saldırganların kontrolündeki alan adlarından ana zararlı yükü indiriyor.
İndirilen ana yük, genellikle Windows'un başlangıç klasörüne kendini kopyalayan bir toplu komut dosyası (.BAT) oluyor.
Bu durum, yazılımın bilgisayar her yeniden başlatıldığında otomatik olarak çalışmasını sağlayarak sistemde kalıcılık kazandırıyor.
Ardından, Base64 ile kodlanmış PowerShell komutları aracılığıyla komuta-kontrol (C&C) sunucularına bağlanarak, bu sunuculardan ek zararlı bileşenleri doğrudan bellekte çalıştırıyor.
Söz konusu yöntem, sabit diske veri yazılmadığı için saldırının geride bıraktığı delilleri azaltıyor.
Uzmanlar, bu tür tehditlere karşı hem kurumsal hem de bireysel düzeyde önlemler alınması gerektiğinin altını çiziyor.
WHATSAPP WEB OTURUMLARINI ELE GEÇİRİYOR
SORVEPOTEL'i diğer zararlı yazılımlardan ayıran en belirgin özellik, bulaştığı bilgisayardaki aktif WhatsApp web oturumlarını taraması.
Doğrulanmış bir oturum tespit edildiğinde, aynı zararlı ZIP dosyasını ele geçirdiği hesabın tüm kişi ve gruplarına otomatik olarak gönderiyor.
Bu otomatik yönlendirme mekanizması, yazılımın çok hızlı bir şekilde yayılmasına olanak tanıyor.
Zararlı yazılım, birçok WhatsApp hesabını spam faaliyetleri nedeniyle askıya aldıracak kadar ciddi bir etki yaratıyor.
Saldırganlar, operasyonlarının izini kaybettirmek için çok katmanlı gizleme stratejileri kullanıyor.
Portekizcede bir tür dondurma anlamına gelen "sorvete no pote" ifadesini taklit eden alan adları tercih ediliyor.
Ayrıca, yürütülen komutlar çeşitli şifreleme ve kodlama katmanlarıyla gizleniyor. Araştırmacılar, "cliente[.]rte[.]com[.]br" gibi başka alan adlarının da dağıtım altyapısına dahil edildiğini tespit ederek saldırının dinamik bir şekilde evrildiğini gösteriyor.
KORUNMA YÖNTEMLERİ NELER?
SORVEPOTEL saldırısı, popüler mesajlaşma platformlarının kötüye kullanılarak ne kadar hızlı ve etkili bir yayılma aracı haline gelebileceğini bir kez daha gözler önüne serdi.
Siber güvenlik portalı GBHackers, kurumların öncelikle güçlü oltalama koruma sistemleri kurmasını, yetkisiz kısayol dosyalarının çalıştırılmasını engelleyecek uç nokta güvenlik politikaları uygulamasını ve WhatsApp web gibi platformlardaki olağan dışı aktiviteleri izlemesini tavsiye ediyor.
Ayrıca, çalışanlara yönelik düzenli siber güvenlik farkındalık eğitimleri düzenlenmesi öneriliyor.
Mevcut saldırı dalgası doğrudan yıkıcı bir etki yaratmaktan çok yayılmaya odaklansa da, Brezilya'da daha önce yaşanan finansal veri hırsızlığı vakalarıyla benzerlik taşıması, gelecekteki saldırıların daha tehlikeli olabileceğine işaret ediyor.
Kullanıcıların, özellikle tanıdıklarından gelse bile, mesajlaşma uygulamaları üzerinden gelen şüpheli dosya eklerini açarken son derece temkinli olmaları gerektiği vurgulanıyor.