Yeni Tehdit: Water Saci’nin Yayılım Taktikleri
Cyber suçlular, Brezilya’da kullanıcıları hedef alan ve WhatsApp üzerinden yayılan yeni bir bankacılık trojanı ile saldırı planlarını evrim geçirtiyor. Water Saci olarak bilinen bu tehdit aktörü, HTML Uygulaması (HTA) dosyaları ve PDF’leri kullanarak karmaşık bir enfeksiyon zinciri oluşturdu. Yeni dalga, yazılımın PowerShell’den Python tabanlı bir varyanta geçiş yaparak, virüsün WhatsApp Web üzerinden yayıldığı bir yaklaşımı benimsediğini gösteriyor.
Trend Micro araştırmacıları, bu yeni çok formatlı saldırı zincirinin yapay zeka (AI) kullanarak PowerShell’den Python’a taşınması gibi özellikler barındırdığını vurguluyor. Bu yöntem, kurbanların güvenini istismar ederek geleneksel güvenlik önlemlerini aşmayı başarıyor.
WhatsApp Üzerinden Yayılan Tehditler
Saldırılarda kullanıcılar, tanıdık bir kişi tarafından gönderilen kötü amaçlı PDF veya HTA eklerine tıklamaya yönlendiriliyor. PDF dosyası, mağdurlara Adobe Reader’ı güncellemeleri için bir bağlantıya tıklamalarını söylerken, HTA dosyasını açan kullanıcılar Visual Basic Script’i etkinleştirerek virüsün ilk aşamasını başlatıyor.
Bu tür dosyalar, uzaktan bir sunucudan kötü amaçlı yükleri çeken PowerShell komutlarını yürütmekte kullanılıyor. Yeni Python tabanlı varyant, daha geniş tarayıcı uyumluluğu ve daha hızlı otomasyon sağlıyor, dolayısıyla enfeksiyonu yayma süresini kısaltıyor.
Bankacılık Trojanının Stratejik Yapısı
MSI yükleyicisi, bankacılık trojanını ileten AutoIt script’i ile çalışıyor. Bu script, yalnızca bir trojan kopyasının çalışmasını sağlamak için belirli kontroller yapıyor. Sistem, yalnızca Brezilya’ya özgü bankacılık aktiviteleri için kontrol sağlayarak hedef alıyor. Trend Micro tarafından tespit edilen başka bir önemli özellik, kötü amaçlı yazılımın açık pencereleri izleyerek bu pencerelerin başlıklarını kontrol etmesi.
Eğer kullanıcı aktif bir banka uygulamasıyla etkileşimde bulunuyorsa, script, düşürülmüş bir TDA dosyasını arar ve bunu “svchost.exe” sürecine enjekte eder. Bu süreç, sürekli olarak güncellenerek, trajan üzerine yeniden yükleme faaliyetlerini destekliyor.
RelayNFC: Yeni Nesil Android Malware Saldırısı
Brezilya, aynı zamanda RelayNFC adı verilen yeni bir Android kötü amaçlı yazılımı ile de tehdit altında. Bu zararlı yazılım, NFC relay saldırılarını gerçekleştirmek üzere tasarlandığından, temassız ödeme verilerini çalmakta kullanılıyor. 2025 yılının Kasım ayından bu yana aktif olan bu kampanya, kullanıcıları phishing ile yanıltarak kötü amaçlı yazılımı kurmaya teşvik ediyor.
RelayNFC, tamamen gerçek zamanlı bir APDU relay kanalı uygulayarak, saldırganların kurbanın kartının fiziksel olarak varmış gibi işlem yapmasına olanak tanıyor. Kullanıcılardan kart bilgilerini “tıklamaları” istenerek çalınan bilgiler, saldırganın sunucusuna WebSocket bağlantısı aracılığıyla gönderiliyor.
Gelişmiş Saldırı Teknikleri
Öte yandan, RelayNFC’nin iç işleyişi, kullanıcıların ödeme kartlarını dolandırıcıların kontrolündeki cihazla alışveriş yapıyor gibi göstererek büyük bir tehdit oluşturuyor. Saldırganlar, dolandırıcılık işlemine ait özel bilgileri, kurbanın cihazının NFC alt sistemi üzerinden ileten bir şekilde yönlendirmekte.
Bu yeni kampanyalar, Brezilya’daki finansal sistemleri hedef alan siber saldırı dinamiklerinin ne kadar karmaşık ve etkili hale geldiğini gösteriyor.
Sonuç olarak, hem Water Saci’nin bankacılık trojanı hem de RelayNFC’nin NFC relay malware saldırısı, Brezilya’da siber tehditlerin sürekli evrildiğinin ve bu durumun toplumsal güvenliği nasıl etkilediğinin önemli örnekleridir.
