Yeni WhatsApp Tabanlı Astaroth Virüsü ile İlgili Tehditler
Kıdemli siber güvenlik araştırmacıları, WhatsApp’ı dağıtım kanalı olarak kullanan yeni bir kampanyayı ortaya çıkardı. Bu kampanya, Brezilya’daki kullanıcıları hedef alan Astaroth isimli bir Windows banka trojanını içermektedir.
Saldırı Nasıl Çalışıyor?
Acronis Threat Research Unit tarafından adlandırılan Boto Cor-de-Rosa kampanyası, virüsün kurbanın WhatsApp kontakt listesini almasını sağlar ve bu listedeki her bir kişiye otomatik olarak kötü niyetli mesajlar gönderir. Böylece enfeksiyonun daha geniş bir alana yayılması hedeflenmektedir. Astaroth’un temel yüklemesi Delphi ile yazılmışken, yeni eklenen WhatsApp tabanlı solucan modülü tamamen Python ile uygulanmıştır. Bu durum, tehdit aktörlerinin çok dilli modüler bileşen kullanımına olan artan eğilimini göstermektedir.
Etkilenen Sistemler
Astaroth (Guildma olarak da bilinir), 2015 yılından bu yana özellikle Latin Amerika, özellikle de Brezilya’daki kullanıcıları hedef alan bir banka zararlısıdır. Kullanıcı verilerini çalmak amacıyla geliştirilen bu yazılım, son zamanlarda WhatsApp’ın banka trojanlarının dağıtımında yeni bir araç olarak kullanımını arttırmıştır. Trend Micro, geçtiğimiz ay “Water Saci” adındaki zararlının WhatsApp kullanarak “Maverick” ve “Casbaneiro” varyantlarını yaydığını belirtmiştir.
Sophos’un Kasım 2025’te yayımladığı bir rapora göre, WhatsApp kullanıcılarını hedef alan çok aşamalı bir zararlı dağıtım kampanyası olan STAC3150 takibi yapılmaktadır. Etkilenen cihazların %95’inden fazlası Brezilya’da, geri kalanları ise ABD ve Avusturya’da tespit edilmiştir.
Tehditin Dağıtım Mekanizması
Eylemler, en azından 24 Eylül 2025’ten bu yana aktif durumda olup, ZIP arşivleri aracılığıyla kötü niyetli içerik taşımaktadır. Bu ZIP dosyaları, bir indirme betiği içermekte ve PowerShell veya Python betikleri aracılığıyla WhatsApp kullanıcı verilerini toplamakta ve virüsün yayılmasını sağlamaktadır. Enfekte olan kullanıcı, ZIP dosyasını çıkartıp açtığında, zararsız bir dosya olarak gizlenmiş bir Visual Basic Script ile karşılaşır. Bu scriptin çalıştırılması, bir sonraki aşama bileşenlerinin indirilmesini tetikler.
Zararlı Yazılım Modülleri
Zararlı yazılım, iki ana modülden oluşmaktadır:
- Bir Python tabanlı yayılma modülü, kurbanın WhatsApp kontaktlarını toplar ve her birine kötü niyetli bir ZIP dosyası gönderir, bu durumda solucan benzeri bir yayılma gerçekleşir.
- Arka planda çalışan bir banka modülü, kurbanın web tarayıcısında sürekli gözlem yapar ve banka ile ilgili URL’ler ziyaret edildiğinde kimlik bilgilerini toplayarak finansal kazanç sağlar.
Acronis’e göre, zararlı yazılım yazarı, yayılma istatistiklerini gerçek zamanlı izlemek ve raporlamak için yerleşik bir mekanizma uygulamıştır. Kod, başarıyla teslim edilen mesaj sayısı, başarısız deneme sayısı ve dakikada gönderilen mesaj oranı gibi istatistikleri periyodik olarak kaydeder.
Çözüm ve Korunma
Bu tür zararlı yazılımlardan korunmak için aşağıdaki adımlar atılmalıdır:
- İşletim sisteminizi ve uygulamalarınızı düzenli olarak güncelleyin.
- Güvenilir kaynaklardan gelen mesajları incelemek ve bilinmeyen dosyaları açmamak konusunda dikkatli olun.
- WhatsApp gibi anlık mesajlaşma uygulamalarına gelen şüpheli içeriklerle ilgili temkinli olun.
Sonuç olarak, zararlı yazılımların yayılımını önlemek ve sistem güvenliğini sağlamak için kullanıcıların güncellemeleri takip etmeleri ve şüpheli içeriklere karşı dikkatli olmaları gerekmektedir. Gerekli durumlarda, şüpheli portları kapatmak da önerilmektedir.
