Siber güvenlik araştırmacıları, Brezilyalı kullanıcılara geniş çapta spam göndermek için Google Chrome’a yönelik bir WhatsApp Web otomasyon uzantısının 131 adet yeniden markalanmış klonundan yararlanan koordineli bir kampanyayı ortaya çıkardı.
Tedarik zinciri güvenlik şirketi Socket’e göre 131 spam yazılımı uzantısı aynı kod tabanını, tasarım modellerini ve altyapıyı paylaşıyor. Tarayıcı eklentilerinin toplu olarak yaklaşık 20.905 aktif kullanıcısı vardır.
Güvenlik araştırmacısı Kirill Boychenko, “Bunlar klasik kötü amaçlı yazılımlar değil, ancak platform kurallarını kötüye kullanan yüksek riskli spam otomasyonu olarak işlev görüyorlar” dedi. “Kod doğrudan WhatsApp Web sayfasına enjekte ediliyor, WhatsApp’ın kendi komut dosyalarıyla birlikte çalışıyor, toplu erişimi ve planlamayı, WhatsApp’ın anti-spam yaptırımını atlatmayı amaçlayan şekillerde otomatikleştiriyor.”
Kampanyanın nihai hedefi, mesajlaşma platformunun hız sınırlarını ve istenmeyen posta önleme kontrollerini aşacak şekilde WhatsApp aracılığıyla giden mesajlaşmayı patlatmaktır.
Faaliyetin en az dokuz aydır devam ettiği değerlendiriliyor ve 17 Ekim 2025 gibi yakın bir tarihte gözlemlenen yeni yüklemeler ve uzantılara yönelik sürüm güncellemeleri gözlemlendi. Tanımlanan uzantılardan bazıları aşağıda listelenmiştir:
- YouSeller (10.000 kullanıcı)
- performansmais (239 kullanıcı)
- Bot akışı (38 kullanıcı)
- ZapVende (32 kullanıcı)
Uzantıların farklı adları ve logoları içerdiği görüldü, ancak perde arkasında bunların büyük çoğunluğu “WL Extensão” ve onun varyantı “WLExtensao” tarafından yayınlandı. Markalamadaki farklılıkların, operasyonun bağlı kuruluşlarının Chrome Web Mağazası’nı DBX Tecnologia adlı bir şirket tarafından sunulan orijinal uzantının çeşitli klonlarıyla doldurmasına olanak tanıyan bir franchise modelinin sonucu olduğuna inanılıyor.
Bu eklentiler aynı zamanda WhatsApp için müşteri ilişkileri yönetimi (CRM) araçları gibi davranarak kullanıcıların uygulamanın web sürümü aracılığıyla satışlarını en üst düzeye çıkarmasına olanak tanıyor.
ZapVende’nin Chrome Web Mağazası’ndaki açıklaması şöyle: “WhatsApp’ınızı güçlü bir satış ve iletişim yönetimi aracına dönüştürün. Zap Vende ile sezgisel bir CRM’ye, mesaj otomasyonuna, toplu mesajlaşmaya, görsel satış hunisine ve çok daha fazlasına sahip olacaksınız.” “Müşteri hizmetlerinizi organize edin, potansiyel müşterileri takip edin ve mesajları pratik ve verimli bir şekilde planlayın.”
Soket başına DBX Tecnologia, potansiyel ortakların WhatsApp Web uzantısını kendi markaları altında yeniden markalamalarına ve satmalarına olanak tanıyan bir bayi beyaz etiket programının reklamını yapıyor ve 12.000 R$ yatırım yaparak 30.000 R$ ila 84.000 R$ aralığında sürekli gelir vaat ediyor.
Uygulamanın, geliştiricilerin ve bağlı kuruluşlarının platformda yinelenen işlevler sağlayan birden fazla uzantı göndermesini yasaklayan Google’ın Chrome Web Mağazası Spam ve Kötüye Kullanım politikasını ihlal ettiğini belirtmekte fayda var. DBX Tecnologia’nın ayrıca, uzantıları kullanırken WhatsApp’ın istenmeyen posta önleme algoritmalarını atlamayla ilgili YouTube videoları yayınladığı da tespit edildi.
Boychenko, “Küme, yayıncı hesaplarına yayılmış neredeyse aynı kopyalardan oluşuyor, toplu, istenmeyen erişim için pazarlanıyor ve web.whatsapp.com içinde kullanıcı onayı olmadan mesaj gönderimini otomatikleştiriyor.” dedi. “Amaç, anti-spam sistemlerinden kaçarken toplu kampanyaların yayınlanmaya devam etmesini sağlamaktır.”
Açıklama, Trend Micro, Sophos ve Kaspersky’nin, Maverick kod adlı bir bankacılık truva atını dağıtmak için kullanılan SORVEPOTEL adlı bir WhatsApp solucanıyla Brezilyalı kullanıcıları hedef alan büyük ölçekli bir kampanyaya ışık tutmasıyla geldi.