Trend Micro araştırmacıları, WhatsApp kullanıcılarını hedef alan yeni bir siber tehdit dalgasını ortaya çıkardı. "SORVEPOTEL" adı verilen kampanya, popüler mesajlaşma uygulamasını kullanarak Windows sistemleri arasında hızla yayılıyor. Uzmanlara göre zararlı yazılımın hedefi, olabildiğince hızlı çoğalmak ve yayılmak.
Trend Micro'nun araştırma ekibinde yer alan Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos ve Paul John Bardon, SORVEPOTEL'in çalışma prensiplerini ayrıntılı biçimde inceledi.
Araştırmacılar, saldırının ikna edici oltalama (phishing) mesajları yoluyla gerçekleştiğini belirtiyor. Saldırganlar, mesajlara ZIP uzantılı kötü amaçlı dosyalar ekliyor ve kullanıcıları bu dosyaları açmaya yönlendiriyor. Oltalama mesajlarının yalnızca masaüstü ortamlarında açılabilmesi dikkat çekiyor. Uzmanlar, bu detayın kurumsal ağlara sızma niyetini ortaya koyduğunu düşünüyor.
Mesajlar genellikle "makbuz" veya "sağlık uygulaması" gibi zararsız görünümlü dosyalar şeklinde sunuluyor. Saldırı zincirinin ilk halkası, daha önce ele geçirilmiş bir WhatsApp hesabından gönderilen mesaj oluyor. Tanıdık bir kişiden geliyormuş izlenimi, güven duygusunu pekiştirerek kullanıcıların tuzağa düşmesine yol açıyor.
Ayrıca araştırmacılar, operatörlerin meşru görünümlü e-posta adreslerinden gönderilen mesajlarla da aynı ZIP dosyalarını dolaşıma soktuğunu tespit etti. Böylece hedef kitle yalnızca WhatsApp kullanıcılarıyla sınırlı kalmıyor, e-posta trafiği üzerinden de yeni kurbanlara ulaşılıyor.
ZIP dosyası açıldığında kurbanın karşısına Windows kısayol dosyası (LNK) çıkıyor. Kullanıcı bu dosyayı çalıştırdığında sessizce bir PowerShell komut dosyası devreye giriyor. Komut dosyası, esas zararlı yükü harici bir sunucudan indiriyor. Trend Micro araştırmacıları, saldırganların bu amaçla özel web sitelerini kullandığını belirtiyor.
İndirilen dosya, sisteme kalıcı olarak yerleşmek üzere kendini Windows başlangıç klasörüne kopyalıyor. Böylece her sistem açılışında otomatik olarak devreye giriyor. Aynı zamanda komuta ve kontrol (C2) sunucusuyla bağlantı kurarak ek komutlar veya yeni zararlı bileşenler alıyor.
SORVEPOTEL'in en dikkat çekici özelliği, WhatsApp Web üzerinden kendini çoğaltabilmesi. Zararlı yazılım, bulaştığı bilgisayarda WhatsApp Web oturumu açık olduğunu fark ettiğinde kötü amaçlı ZIP dosyasını otomatik olarak tüm kişi listesine ve grup sohbetlerine gönderiyor.
WhatsApp İhbar Hattı
+90 (553) 313 94 23
