Dünya Çapında Kurumsal Ağlar, WhatsApp’ı birincil dağıtım mekanizması olarak kullanan agresif, kendini tanıtan bir kötü amaçlı yazılım kampanyasıyla karşı karşıya.
İlk olarak Eylül 2025’in başlarında Brezilya örgütlerini hedefleyen SorvePotel, kötü niyetli fermuar ekleri taşıyan kimlik avı mesajları ile yayılıyor.
Yürütme üzerine, kötü amaçlı yazılım sadece ana bilgisayar sisteminde bir dayanak oluşturmakla kalmaz, aynı zamanda uzatılmış hesapla ilişkili tüm kişiler ve gruplar arasında kendini çoğaltmak için aktif WhatsApp web oturumlarını kaçırır.
Sosyal mühendislik ve otomatik yayılımın bu benzeri görülmemiş karışımı, SorvePotel’i iç iletişim için mesajlaşma platformlarına dayanan işletmeler için önemli bir tehdide yükseltti.
İlk raporlar, makbuzlar veya bütçeler gibi zararsız belgeler olarak maskelenen res-20250930112057.zip veya orcamento114418.zip gibi arşiv adlarını taşıyan kimlik avı mesajlarına yönelik kampanyayı izledi.
Bu mesajlar kullanıcıları “Baixa O Zip No PC e abre” (PC’deki Zip’i indirin ve açın), kurumsal etkiyi en üst düzeye çıkarmak için masaüstü oturumlarını açıkça hedefler.
Trend mikro analistleri, alternatif bir enfeksiyon vektörünün, genellikle “Comprovantesantander-75319981.682657420.zip” gibi konularla güvenilir kurumlardan kaynaklandığı görülen benzer şekilde adlandırılmış ZIP eklerini dağıtan kimlik avı içerdiğini belirledi.
Zip çıkarıldıktan sonra, kurban, saldırgan kontrollü alanlardan birincil yükü indiren ve yürüten gizli bir PowerShell komut dosyası başlatmak için tasarlanmış aldatıcı bir Windows kısayol (.lnk) dosyasıyla karşılaşır.
Saldırı zinciri
.Lnk dosyası yürütüldükçe, gizli bir pencerede bir toplu komut dosyasını başlatan kodlanmış bir komut çağırır.
.webp)
Bu saldırı zinciri, PowerShell’den yararlanan kısayol içindeki şifreli komut satırını göstermektedir. Invoke-Expression (IEX) ile işlev -enc Yükün şaşkınlığı için parametre.
Bu komut dosyası ikincil bir toplu iş dosyası yükü alır ve Windows başlangıç klasörüne kopyalayarak kalıcılık oluşturur.
Bir dizi Base64 kodlu PowerShell komutu aracılığıyla, kötü amaçlı yazılım, komut ve kontrol (C2) sunucularına işaret eden URL’ler oluşturur ve kullanır. Net.WebClient daha sonra bellekte yürütülen ek bileşenler almak için.
Toplu iş dosyası içindeki şifre çözülmüş komut, C2 altyapısına bağlanır. Sorvetenopotel.com (Portekizli “Sorvete NO Pote” ifadesinde bir oyun) gibi yazım hatası alanları kullanarak, saldırganlar kötü niyetli trafiği meşru ağ akışlarıyla birleştirir, temel algılama mekanizmalarından kaçar.
Kalıcılık uygulandıktan sonra, aktif WhatsApp web oturumları için kötü amaçlı yazılım tarar. Kimliği doğrulanmış bir oturumu bulduktan sonra SorvePotel, aynı kötü amaçlı fermuarları tüm kontaklarda ve gruplarda otomatik olarak yayar.
Bu otomatik spam sadece enfeksiyon oranlarını çoğaltmakla kalmaz, aynı zamanda WhatsApp’ın hizmet şartlarını ihlal ettiği için tehlikeye atılan hesapların yasaklanmasına neden olur.
Sosyal mühendislik, senaryo tabanlı yürütme ve hızlı oturum kaçırma birleştirerek SorvePotel, mesajlaşma-platform saldırılarında yeni bir yükseliş gösteriyor.
Kötü amaçlı yazılımların hemen veri hırsızlığı yerine yaygın dağıtım üzerine odaklanması, erişim ve operasyonel aksamaları en üst düzeye çıkarmaya doğru bir kaymanın altını çizmektedir.
Kuruluşlar, yetkisiz kısayolları engellemek, mesajlaşma uygulamalarındaki otomatik indirme özelliklerini devre dışı bırakmak ve SorvePotel gibi kendini tanıtan tehditlerin ortaya koyduğu gelişen riski azaltmak için düzenli kullanıcı farkındalığı eğitimi almalıdır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
