Eternidade Stealer: Tehditler ve Yayılma Yöntemleri
Son dönemde, Brezilya’da kullanıcıları hedef alan yeni bir siber saldırı kampanyası gündeme geldi. Bu kampanya, sosyal mühendislik ve WhatsApp’ı ele geçirme tekniklerini kullanarak, Delphi tabanlı bir banka trojanı olan Eternidade Stealer‘ı yaymaktadır. Trustwave SpiderLabs’in araştırmacıları, bu saldırıların arka planını detaylandırmışlardır.
Dağıtım ve Propagasyon Yöntemleri
Eternidade Stealer, WhatsApp üzerinden yayılan bir solucan kampanyası aracılığıyla dağıtılmaktadır. Önceki PowerShell tabanlı scriptlerin yerini alan yeni bir Python scripti kullanılarak, tehdit aktörleri WhatsApp hesaplarını ele geçirip zararlı ekler göndermektedir. Bu değişim, siber suçluların daha gelişmiş ve etkili yollarla kullanıcıları hedef almasını sağlamaktadır.
Eternidade Stealer, Brezilya’daki kullanıcıların sistemlerini tehlikeye atmakta ve WhatsApp’ı büyük ölçekli saldırılar için bir yayılma aracı olarak kullanmaktadır. Bunun yanı sıra, benzer bir kampanya olan Water Saci de WhatsApp Web üzerinden SORVEPOTEL adında bir solucan kullanarak Brezilya kullanıcılarını hedef almıştır.
Saldırı Zinciri ve Yürütme Süreci
Saldırının başlangıç noktası, yarı şifrelenmiş bir Visual Basic scriptidir. Bu script, iki ana yükü teslim eden bir komut dosyası bırakmaktadır:
- WhatsApp Web tabanlı yayılımı tetikleyen bir Python scripti.
- Eternidade Stealer’ı başlatmak için AutoIt scripti kullanan bir MSI yükleyicisi.
Python scripti, kurbanın tüm iletişim listesini toplayarak, yalnızca bireysel telefon numaralarını ve isimlerini çıkarır. Bu bilgiler daha sonra saldırganın kontrolündeki bir sunucuya gönderilir. Nihai aşamada, kötü amaçlı bir ek tüm kontaklara gönderilir.
Eternidade Stealer’ın İşleyiş Biçimi
Brezilya merkezli sistemler üzerinde çalışan Eternidade Stealer, hedef bankaların ve kripto para borsalarının pencerelerini sürekli gözlemlemektedir. İçinde Bradesco, Binance ve Coinbase gibi popüler isimlerin geçtiği stringlere dikkat eder. Sadece hedef uygulamalar açıldığında devreye giren bir mekanizma ile çalışarak, kullanıcıların dikkatini çekmeden veri çalmaktadır.
Tehdit aktörleri, eğer sunucuya bağlanamazlarsa, kodda gömülü ikinci bir komut kontrol adresini devreye sokarak sistemlerinin sürekliliğini sağlamaktadırlar.
Geofencing ve Hedefleme Stratejileri
MSI yükleyicisi, sistemin Brezilya’da olup olmadığını kontrol eder. Eğer değilse, malware kendini sonlandırmaktadır. Bu, tehdit aktörlerinin hiper-lokalize hedefleme çabalarının bir göstergesidir. Saldırı, sistemin mevcut güvenlik yazılımları ve yapılandırması hakkında bilgi topladıktan sonra, “svchost.exe” içerisine Eternidade Stealer yükünü enjekte etmektedir.
Sonuç: Siber Güvenlikte Dikkat Edilmesi Gerekenler
Eternidade Stealer, WhatsApp’ı etkili bir saldırı aracı olarak kullanan yeni bir tehdit modelini simgelemektedir. Kullanıcıların dikkat etmesi gereken ana noktalar arasında, WhatsApp üzerindeki şüpheli aktiviteler ve beklenmedik MSI veya script çalıştırmaları yer almaktadır. Siber güvenlik savunucuları, bu tür tehditlere karşı sürekli olarak tetikte olmalı ve gerekli önlemleri almalıdır.
Siber ortamda sürekli bir değişim ve gelişim söz konusudur; bu nedenle, kullanıcıların güncel kalmaları ve bilinçlenmeleri büyük önem taşımaktadır.
