WhatsApp Üzerinden Dağıtılan Zararlı Yazılım Tehdidi
Microsoft, WhatsApp mesajları aracılığıyla dağıtılan kötü niyetli Visual Basic Script (VBS) dosyalarını içeren yeni bir kampanya hakkında uyarıda bulundu. Bu olay, kullanıcıların büyük risk altında olmasına sebep olan önemli bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Bu kampanya, Şubat 2026’nın sonlarında başlamış olup, kötü niyetli VBS dosyaları yardımıyla çok aşamalı bir enfeksisyon zinciri kurarak sistem üzerinde kalıcılık sağlamakta ve uzaktan erişim imkanı tanımaktadır. Kötü niyetli aktörlerin kullanıcıları bu dosyaları çalıştırmaya ikna etmek için hangi yöntemleri kullandığı henüz bilinmemektedir.
- Sosyal mühendislik ve doğal sistem etkinliğine karışacak şekilde tasarlanmış tekniklerin bir kombinasyonu kullanılıyor.
- Legitimate Windows yardımcı programları gibi görünecek biçimde yeniden adlandırılmış araçlar kullanılarak ağ etkinliği içinde gizlenmeye çalışılmakta.
- Kötü yazılım, AWS, Tencent Cloud ve Backblaze B2 gibi güvenilir bulut servislerinden yüklenen dosyalarla kurulmakta.
Etkilenen Sistemler
Kampanyada ilk olarak kötü niyetli VBS dosyaları, WhatsApp mesajları aracılığıyla dağıtılmakta. Kullanıcı bu dosyayı çalıştırdığında, gizli klasörler “C:ProgramData” dizininde oluşturulmakta ve meşru Windows yardımcı programlarının yeniden adlandırılmış versiyonları (örneğin, “curl.exe” –> “netapi.dll” ve “bitsadmin.exe” –> “sc.exe”) sistemde bırakılmaktadır.
Çözüm ve Korunma
Saldırganlar, ilk yerleşimi elde ettikten sonra sistemin kontrolünü sürdürmek için kötü niyetli MSI paketlerini yüklemeyi hedeflemektedir. Bunu, AWS S3, Tencent Cloud ve Backblaze B2 üzerinde barındırılan ek VBS dosyalarını indirerek gerçekleştirmektedirler.
- Kullanıcı Hesabı Denetimi (UAC) ayarları ile oynayarak sistemin savunmalarını zayıflatmakta.
- cmd.exe‘yi yükseltilmiş ayrıcalıklarla çalıştırmaya sürekli olarak denemekte, bu da sistemin güvenliğini aşma çabasıdır.
- Registry kayıtları altında değişiklikler yaparak kalıcılığı sağlamak için mekanizmalar gömülmektedir.
Bunların sonucunda, saldırganlar etkileşim olmadan yükseltilmiş ayrıcalıklar elde etmekte ve nihayetinde imzasız MSI yükleyiciler yükleyebilmektedirler. Bu süreçte, toplanan verileri sızdırmak veya daha fazla kötü yazılım dağıtmak için AnyDesk gibi meşru araçlar kullanılmaktadır.
Sonuç
Bu kampanya, sosyal mühendislik, gizlilik teknikleri ve bulut tabanlı payload barındırmayı birleştiren karmaşık bir enfeksiyon zincirini ortaya koymaktadır. Kullanıcıların bu tehditten korunmak için hemen aşağıdaki adımları gerçekleştirmeleri önemlidir:
- Güncellemeleri kontrol edin: Tüm yazılımlarınızı, özellikle de işletim sistemi ve güvenlik yazılımlarınızı güncel tutun.
- Portları kapatın: Gerekmedikçe kullanılmayan portları kapatın.
- Şüpheli mesajlara dikkat edin: Bilinmeyen kaynaklardan gelen WhatsApp mesajlarındaki dosyaların asla açılmaması gerektiğini unutmayın.
Kendi güvenliğinizi sağlamak için dikkatli olun ve olumsuz durumlarla karşılaşmamak adına bu uyarılara itibar edin.
