Astaroth adlı iyi bilinen, tehlikeli bir bankacılık kötü amaçlı yazılımı, WhatsApp’a gizlice girerek insanların hayatlarına girmenin yeni bir yolunu buldu. Bulgular, 8 Ocak 2026 Perşembe günü yayınlanan resmi raporla birlikte Acronis Tehdit Araştırma Birimi’nden (TRU) geldi.
Acronis, kötü amaçlı yazılımın dijital bir solucan gibi davranarak bir kişinin kişi listesinden diğerine otomatik olarak yayıldığı ve esas olarak Brezilyalıları hedef aldığı Boto Cor-de-Rosa adlı yeni bir kampanya tespit etti.
Önde gelen araştırmacılar Jozsef Gegeny ve Jonathan Micael, Hackread.com ile paylaşılan blog yazısında, operatörlerin genellikle e-postayı istismar ettiğini ancak bu yeni taktiğin sohbet uygulamalarımıza duyduğumuz güveni istismar ettiğini belirtti.
Kötü Amaçlı Yazılım Nasıl İçeri Giriyor?
Herhangi bir kullanıcı için WhatsApp’ta bir arkadaşından dosya almak, rastgele bir e-postayı açmaktan çok daha güvenlidir. Bu tam olarak bilgisayar korsanlarının güvendiği şey. Saldırı, ZIP arşivi (temel olarak sıkıştırılmış bir klasör) içeren ve genellikle kafa karıştırıcı rakamlardan oluşan bir diziyle adlandırılan bir mesajla başlar: 552_516107-a9af16a8-552.zip.
Bir kurban bu klasörü açarsa gizli bir komut dosyası zincirleme reaksiyonu tetikler. Daha ayrıntılı incelemeler, kötü amaçlı yazılımın ana dosyalarını bilgisayardaki çok özel bir noktada gizlediğini ortaya çıkardı: C:\Public\MicrosoftEdgeCache_6.60.2.9313.
Yerleştikten sonra iki farklı modülü aynı anda çalıştırır:
- Bankacılık Modülü: Sessiz kalır ve bankaya giriş yaptığınızda sizi izler.
- WhatsApp Yayıcı: Bu, WhatsApp’ta yazılmış yeni bir kod parçasıdır. Python (adlı bir dosya
zapbiu.py) kişi listenizi çalıyor ve virüsün kopyalarını tanıdığınız herkese göndermeye başlıyor.
Kibar Mesajlar ve İlerlemenin Takibi
Bilgisayar korsanlarının mesajlara şaşırtıcı derecede insani bir dokunuş eklediğini belirtmekte fayda var. Yazılım aslında Portekizce olarak doğru selamlamayı göndermek için bilgisayarınızdaki saati kontrol eder. Mesajı ne zaman gönderdiğine bağlı olarak “Bom dia” (Günaydın), “Boa tarde” (İyi günler) veya “Boa noite” (İyi akşamlar) ile başlayacak.
Mesaj genellikle şöyle diyor: “İşte istenen dosya. Herhangi bir sorunuz varsa, ben müsaitim!” Bu, gerçek bir konuşmanın devamı gibi görünmesini sağlar. Araştırmacılar, kötü amaçlı yazılımın kendi başarı oranını bile takip ettiğini, kaç kişiye başarıyla ulaştığını görmek için her 50 mesajda bir ilerleme raporu yazdırdığını belirtiyor.
Tutarlı Gelişim
Astaroth, uzun süredir güvenlik uzmanlarının baş ağrısı olan Delphi tabanlı bir virüstür. Bilginiz olsun, bu Hackread.com’un hilelerini ilk kez bildirişi değil. Şubat 2025’te, Gmail ve Microsoft oturum açma bilgilerini çalmak için iki faktörlü kimlik doğrulamayı atlayabilen bir Astaroth sürümü bulundu.
Daha sonra Ekim 2025’te, yedekleme dosyalarını görüntülerin içine gizlemek için GitHub’u kötüye kullandığı tespit edildi. Bu, bilgisayar korsanlarının her zaman yeni saklanma noktaları aradığını ve WhatsApp’ın onların son hedefi olduğunu gösteriyor.
Bununla birlikte, en son sürüm şu anda Brezilya’ya odaklanmış olsa da, keşfi, bu saldırganların göz önünde saklanmanın daha akıllı yollarını bulduğunu gösteriyor. Bu nedenle konumunuz ne olursa olsun bu ve buna benzer tehditlere karşı dikkatli olun ve daha fazlası için Hackread.com’u ziyaret edin.