Brezilyalı kullanıcılar, popüler mesajlaşma uygulaması WhatsApp üzerinden yayılan ve kendini çoğaltabilen yeni bir kötü amaçlı yazılımın hedefi haline geldi. Trend Micro tarafından SORVEPOTEL olarak adlandırılan bu kampanya, Windows sistemleri arasında hızla yayılarak ciddi bir güvenlik tehdidi oluşturuyor.
Hızlı yayılım ve kurumsal hedefler
Araştırmalara göre, SORVEPOTEL kötü amaçlı yazılımı Windows sistemleri arasında ikna edici kimlik avı mesajları ve zararlı ZIP dosya ekleri aracılığıyla yayılıyor. Kampanyanın veri hırsızlığı veya fidye yazılımı yerine “hız ve yayılma” için tasarlandığı belirtiliyor. Zararlı dosya ekini içeren kimlik avı mesajı, kullanıcıların bunu masaüstünde açmasını gerektiriyor. Bu durum, tehdit aktörlerinin tüketicilerden ziyade kurumları hedeflemeye daha fazla ilgi duyduklarını gösteriyor.
Tespit edilen 477 vakanın 457’si Brezilya’da yoğunlaşmış durumda. Devlet kurumları, kamu hizmeti, üretim, teknoloji, eğitim ve inşaat sektörlerindeki kuruluşlar en çok etkilenenler arasında yer alıyor. Ek açıldığında, kötü amaçlı yazılım WhatsApp’ın masaüstü web versiyonu üzerinden otomatik olarak yayılıyor. Bu durum, enfekte olmuş hesapların aşırı spam nedeniyle yasaklanmasına neden oluyor. Tehdit aktörlerinin erişimi veri sızdırmak veya dosyaları şifrelemek için kullandıklarına dair herhangi bir belirti bulunmuyor.
Saldırının başlangıç noktası, WhatsApp’ta zaten güvenliği ihlal edilmiş bir kişiden gönderilen kimlik avı mesajı. Bu yöntem, mesaja güvenilirlik kazandırıyor. Mesaj, görünüşte zararsız bir makbuz veya sağlık uygulamasıyla ilgili dosya gibi görünen bir ZIP eki içeriyor. Kampanyanın arkasındaki operatörlerin, ZIP dosyalarını görünüşte meşru e-posta adreslerinden dağıtmak için e-postaları da kullandıklarına dair kanıtlar mevcut.
Alıcı kandırılıp eki açtığında, Windows kısayol (LNK) dosyasını açmaya yönlendiriliyor. Bu dosya çalıştırıldığında, sessizce bir PowerShell betiğinin yürütülmesini tetikliyor. Bu betik, ana yükü harici bir sunucudan (örneğin sorvetenopoate[.]com) almaktan sorumlu. İndirilen yük, bir batch betiği olarak tasarlanmış. Bu betik, kendisini Windows Başlangıç klasörüne kopyalayarak sistemde kalıcılık sağlıyor. Böylece sistem başlatıldığında otomatik olarak çalışıyor. Ayrıca, daha fazla talimat veya ek zararlı bileşenler almak için bir komut ve kontrol (C2) sunucusuna ulaşan bir PowerShell komutu çalıştırmak üzere tasarlanmış.
SORVEPOTEL operasyonlarının merkezinde WhatsApp odaklı yayılma mekanizması bulunuyor. Kötü amaçlı yazılım, enfekte olmuş sistemde WhatsApp Web’in etkin olduğunu tespit ederse, kurbanın güvenliği ihlal edilmiş hesabıyla ilişkili tüm kişilere ve gruplara zararlı ZIP dosyasını dağıtmaya başlıyor. Bu sayede hızla yayılıyor.
Araştırmalara göre, bu otomatik yayılma yüksek hacimli spam mesajlarına neden oluyor ve WhatsApp’ın hizmet şartlarının ihlali nedeniyle sıklıkla hesap askıya alınmalarına veya yasaklanmalarına yol açıyor. SORVEPOTEL kampanyası, tehdit aktörlerinin minimal kullanıcı etkileşimiyle hızlı ve büyük ölçekli kötü amaçlı yazılım yayılımı sağlamak için WhatsApp gibi popüler iletişim platformlarını giderek daha fazla kullandıklarını gösteriyor.
Bu durum, kullanıcıların bilinmeyen kaynaklardan gelen dosya eklerine karşı daha dikkatli olmaları gerektiğini ve güvenilir görünen kişilerden gelen mesajlarda bile temkinli davranmanın önemini bir kez daha ortaya koyuyor. Özellikle masaüstünde açılması istenen dosyalara karşı ekstra dikkatli olunması, kurumsal güvenlik için kritik öneme sahip.
