Siber güvenlik araştırmacıları, bankacılık kimlik bilgilerini ve kripto para borsası giriş bilgilerini çalmak üzere tasarlanmış, kendi kendine yayılan kötü amaçlı yazılımlarla Brezilya’daki WhatsApp kullanıcılarını hedef alan yeni ve karmaşık bir kampanyayı ortaya çıkardı.
İlk olarak 29 Eylül 2025’te tespit edilen saldırı, kötü amaçlı yükleri mesajlaşma ağlarına yaymak için kullanıcıların tanıdık kişilere olan güvenini istismar eden sosyal mühendislik taktiklerinde tehlikeli bir evrimi temsil ediyor.
Kampanya, kurbanların mesajlaşma platformunun web tabanlı sürümü aracılığıyla daha önce virüs bulaşmış WhatsApp kişilerinden görünüşte meşru mesajlar almasıyla başlıyor.
Bu iletiler, “NEW-20251001_150505-XXX_XXXXXXX.zip” gibi adlara sahip ZIP arşivleri içerir veya orijinal görünmek için “ORCAMENTO” (Bütçe) ve “COMPROVANTE” (Kupon) gibi Portekizce terimler kullanır.
Mesajlar, alıcılara özellikle içeriğin yalnızca bilgisayarda görüntülenebileceği talimatını vererek mağdurları, güvenlik korumalarının daha güçlü olabileceği mobil cihazlardan kasıtlı olarak uzaklaştırıyor.
ZIP dosyası indirildikten sonra karmaşık, çok aşamalı bir PowerShell enfeksiyon zincirini tetikleyen kötü amaçlı bir Windows LNK dosyası içerir.
Sophos’taki güvenlik araştırmacıları, bu ilk PowerShell etkinliğinin 400’den fazla müşteri ortamında 1.000’den fazla uç noktayı etkilediğini tespit etti.
Brezilya Finansal Kurumları
İkinci aşamadaki PowerShell komutları, kritik güvenlik savunmalarını devre dışı bırakmaya çalışıyor; Portekizce yorumlarda “Microsoft Defender’a bir dışlama ekleme” ve “UAC’yi (Kullanıcı Hesabı Denetimi) devre dışı bırakma” niyetleri açıkça belirtiliyor.
Bu savunmadan kaçınma, oturumların ele geçirilmesi için bir Selenium tarayıcı otomasyon aracının veya özellikle Brezilya bankaları ve kripto para birimi borsalarıyla bağlantıları izleyen Maverick adlı bir bankacılık truva atının konuşlandırılmasına olanak tanıyor.
Kurbanlar hedeflenen finansal web sitelerine eriştiğinde, kötü amaçlı yazılım, oturum açma kimlik bilgilerini çalmak ve yetkisiz işlemleri kolaylaştırmak üzere tasarlanmış, zengin özelliklere sahip bir .NET bankacılık trojanını yükler.
Bu yükün karmaşıklığı, önemli geliştirme kaynaklarına ve Brezilya bankacılık sistemlerine ilişkin ayrıntılı bilgiye işaret ediyor.
Karşı Tehdit Birimi araştırmacıları, Şubat 2024’ten bu yana benzer dağıtım yöntemleri kullanarak Brezilyalı kullanıcıları hedef alan Coyote bankacılık truva atını içeren önceki kampanyalarla olası bağlantıları tespit etti.
Kendi Kendini Yayma Mekanizması Tehdidi Artırıyor
Bu kampanyanın en endişe verici yönü, kendi kendini yayma niteliğidir. Başarılı bir bulaşmanın ardından, kötü amaçlı yazılım kendisini kurbanın WhatsApp kişilerine yaymaya çalışarak sosyal güveni güçlendiren üstel bir dağıtım ağı oluşturuyor.
Bu solucan benzeri davranış, alıcıların bilinen kişilerden gelen ekleri açma olasılığı daha yüksek olduğundan, kampanyanın erişimini ve etkinliğini önemli ölçüde artırır.
Tehdit aktörleri sosyal mühendislik taktiklerini geliştirmeye devam ettikçe, uyanıklık ve güvenlik farkındalığı, gelişen bu siber tehditlere karşı ilk savunma hattı olmaya devam ediyor.
Güvenlik uzmanları, bu saldırının, siber suçluların mesajlaşma platformlarını ve sosyal medya kanallarını giderek daha fazla hedef aldığı, gelişen tehdit ortamını gösterdiğini vurguluyor.
WhatsApp Web’in kullanılması, özellikle saldırganların mobil güvenlik önlemlerini atlamalarına olanak tanırken, WhatsApp’ın hem kişisel hem de ticari amaçlar için birincil iletişim aracı olarak hizmet verdiği Brezilya’da platformun yaygın olarak benimsenmesinden yararlanıyor.
Kuruluşlar ve bireyler, kullanıcıları, bilinen kişilerden gelen şüpheli ekleri açmanın riskleri konusunda eğiterek kendilerini koruyabilirler.
PowerShell yürütme uyarılarına hızlı yanıt verilmesi, enfeksiyonların erken aşamalarda kontrol altına alınmasına yardımcı olabilir; güncel uç nokta güvenlik çözümlerinin sürdürülmesi ise bu karmaşık çok aşamalı saldırılara karşı önemli bir savunma sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.