Brezilyalı kullanıcıları hedef alan siber suçlular, agresif bir şekilde taktiklerini artırdı ve “Su Saci” adı verilen son derece karmaşık bir kampanya başlattı.
Bu yeni saldırı dalgası, milyonlarca kişinin dolaylı olarak güvendiği bir platform olan WhatsApp Web’i bankacılık truva atlarını dağıtmak ve hassas finansal verileri çalmak için silah haline getiriyor.
Saldırganlar, kullanıcı hesaplarının güvenliğini tehlikeye atarak güvenilir kişilere ikna edici mesajlar göndererek, geleneksel güvenlik savunmalarını etkili bir şekilde atlatmak için sosyal mühendislikten yararlanan hızlı, kendi kendine yayılan bir enfeksiyon döngüsü oluşturarak, hiçbir şeyden haberi olmayan sayısız kişiyi etkiler.
Bulaşma zinciri genellikle kullanıcıların ZIP arşivleri, Adobe güncellemeleri gibi görünen PDF sahtekarlıkları veya A-{random}.hta gibi belirli adlandırma kalıplarını izleyen doğrudan HTA dosyaları gibi kötü amaçlı ekler içeren mesajlar almasıyla başlar.
.webp)
Kurban bu dosyaları açtığında, Visual Basic komut dosyalarını ve MSI yükleyicilerini içeren karmaşık, çok aşamalı bir saldırı dizisini yürütür.
.webp)
Bu süreç, bir bankacılık trojanını gizlice indirirken aynı zamanda kurbanın WhatsApp oturumunu daha fazla yayılmak üzere ele geçirmek ve maksimum erişim sağlamak için tasarlanmış otomasyon komut dosyalarını dağıtır.
.webp)
Trend Micro güvenlik analistleri, bu kampanyanın kötü amaçlı yazılım geliştirmede önemli bir değişime işaret ettiğini ve yeteneklerini hızlandırmak için yapay zekadan yararlandığını belirledi.
Saldırganların yayılma kodlarını tercüme etmek ve optimize etmek için Büyük Dil Modelleri’ni (LLM’ler) kullandıkları ve PowerShell’den daha sağlam Python tabanlı bir altyapıya geçiş yaptıkları görülüyor.
Stratejik değişim
Bu stratejik değişim, kötü amaçlı yazılımları Chrome, Edge ve Firefox dahil olmak üzere farklı tarayıcılara yayma yeteneklerini önemli ölçüde artırarak standart güvenlik protokollerinin tespitini giderek zorlaştırıyor ve kullanıcıları savunmasız bırakıyor.
Bu teknik evrimin kritik bir bileşeni, önceki PowerShell değişkenlerinin yerini alan Whatsz.py betiğidir.
Analiz, açıkça “Versao Python Convertido de PowerShell” ifadesini belirten komut dosyası başlıkları ve “hataların işlenmesiyle optimize edilmiş sürüm” gibi yorumlar gibi yapay zeka destekli kodlamaya ilişkin ikna edici kanıtları ortaya koyuyor.
.webp)
Bu komut dosyası, enfeksiyon sürecini otomatikleştirmek için chromedriver.exe gibi bileşen dosyalarına dayanır; WA-JS kitaplığını enjekte etmek, kişi listelerini çıkarmak ve şüpheli olmayan kurbanlara kötü amaçlı dosyaları toplu olarak göndermek için Selenium’u kullanır.
Python kodu, gelişmiş hata işleme özelliğine sahip karmaşık bir nesne yönelimli yapı sergiler; bu özellikler, genellikle hızlı manuel bağlantı noktalarında bulunmayan özelliklerdir.
.webp)
Örneğin, ana otomasyon sınıfı, çeşitli durumlar için net formatlamayı tanımlayarak güvenilir yürütme sağlar.
Ek olarak, konsol çıktısı, standart kötü amaçlı yazılımlarda nadiren görülen ancak yapay zeka tarafından oluşturulan kod tabanlarında yaygın olan bir özellik olan renkli emojiler içeriyor.
Bu gelişmiş otomasyon, kötü amaçlı yazılımın özerk bir şekilde çalışmasına, normal ağ trafiğine uyum sağlamak için görevleri duraklatıp devam ettirmesine olanak tanırken, ilerlemeyi bir komut ve kontrol sunucusuna raporlayarak sonuçta kalıcı erişim sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
