WhatsApp Üzerinden Yaygınlaşan Tehdit: SORVEPOTEL Malware’i
Son zamanlarda, Brezilya kullanıcılarının hedef alındığı yeni bir malware türü ortaya çıktı. WhatsApp üzerinden yayılan bu zararlı yazılımın kod adı SORVEPOTEL. Trend Micro tarafından geliştirilen bu kampanya, platforma duyulan güveni silahlandırarak Windows sistemleri arasında hızla yayıldığı bildiriliyor. Araştırmalar, bu saldırının esas amacının veri çalmak ya da fidye yazılımı yaymak yerine hızlı bir şekilde yayılmak olduğunu belirtiyor.
Sorunlu Mesajlar ve Zararlı Dosyalar
SORVEPOTEL’in nasıl yayıldığına dair anlatımlar oldukça çarpıcı. Araştırmacılar, Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos ve Paul John Bardon, zararlı yazılımın, zararlı ZIP dosyası ekleriyle birlikte ikna edici phishing mesajları aracılığıyla yayıldığını belirtti. Özellikle bu mesajların, kullanıcıların daha çok masaüstü bilgisayarlarda açması gerektiğine dikkat çekilmesi, saldırganların kurumsal kullanıcıları hedeflediğini düşündürüyor.
Kullanıcı, bu ek dosyayı açtığında, malware otomatik olarak WhatsApp Web aracılığıyla yayılmaya başlıyor. Bunun sonucunda, enfekte olan hesaplar, aşırı spam nedeniyle yasaklanıyor. Araştırmalar, saldırganların bu süreçte hiç veri çalmadığını ya da dosyaları şifrelemediğini gösteriyor. Etkilenen kullanıcıların çoğunluğu, 477 vakadan 457’si ile Brezilya’da yoğunlaşmış durumda. Bu durum, hükümet, kamu hizmetleri, imalat, teknoloji, eğitim ve inşaat sektörlerindeki kuruluşları etkiliyor.
Phishing Mesajlarının İşleyişi
Saldırının başlangıç noktasını oluşturan phishing mesajı, daha önceden kullanıcı tarafından ele geçirilmiş bir WhatsApp hesabından gönderiliyor. Böylece, mesajın güvenilirliği artırılıyor. Mesajda yer alan ZIP dosyası, bir makbuz ya da sağlık uygulamasıyla ilgili masum görünümlü bir dosya olarak sunuluyor. Ancak, saldırganların bu kampanya kapsamında bazen e-posta yoluyla da ZIP dosyalarını dağıttığına dair kanıtlar mevcut.
Alıcı, bu tuzağa düşüp ek dosyayı açarsa, bir Windows kısayol (LNK) dosyası ile karşılaşır. Bu dosya çalıştırıldığında, sessizce bir PowerShell scriptini tetikleyerek ana yükü harici bir sunucudan yüklemeyi amaçlar. İlgili zarar veren yazılım, sistem başlarken otomatik olarak çalışabilmesi için kendini Windows Başlangıç klasörüne kopyalar. Ayrıca, bir komut ve kontrol sunucusuna (C2) ulaşarak daha fazla talimat veya ilave zararlı bileşenler almak için çalıştırılacak bir PowerShell komutu da devreye girer.
WhatsApp Üzerinden Yayılan Tehditin Etkileri
SORVEPOTEL’in işleyişinde WhatsApp odaklı yayılma mekanizması kritik bir rol oynar. Malware, enfekte olmuş sistemde WhatsApp Web’in aktif olduğunu tespit ettiğinde, dolandırdığı kullanıcının tüm iletişim listesine ve gruplara zararlı ZIP dosyasını gönderir. Bu, hızlı ve etkili bir şekilde yayılmasına neden olur. Trend Micro, bu otomatik yayılmanın çok yüksek miktarda spam mesaj oluşturduğunu ve bu durumun çoğu kez WhatsApp’ın hizmet koşullarını ihlal ettikleri için hesap askıya alma ya da yasaklama sonuçları doğurduğunu belirtiyor.
Artan Tehditler ve Kullanıcı Güvenliği
SORVEPOTEL kampanyası, tehdit aktörlerinin yaygın iletişim platformlarını kullanarak hızlı ve büyük ölçekte zararlı yazılım yaymanın yollarını benimsediğini gösteriyor. Kullanıcıların dikkatli olması ve güçlü güvenlik önlemleri alması kritik önem taşıyor. Özellikle bilinmeyen kaynaklardan gelen bağlantılara tıklamamaları, ek dosyalarını açmamaları gerekmektedir. Bunun yanı sıra, yazılım güncellemelerini düzenli olarak yapmak ve güçlü antivirüs yazılımları kullanmak, olası zararlı yazılımlara karşı koruma sağlayacaktır.
Bu kapsamda, WhatsApp kullanıcılarının bilinçlendirilmesi, toplumsal bir sorumluluk haline gelmiştir. Malware saldırılarına karşı alınacak tedbirler ve farkındalık artırıcı kampanyalar, dijital dünyada daha güvenli bir ortam yaratılmasına katkı sağlayacaktır.
