SorvePotel olarak adlandırılan agresif bir kötü amaçlı yazılım kampanyası, Brezilya’daki merkez üssü ile Windows sistemlerine sızmak için WhatsApp mesajlarını kullanıyor.
Veri hırsızlığı veya fidye yazılımı gaspını takip etmek yerine, bu kendini tanıtan kötü amaçlı yazılımlar hızlı bir yayılma için tasarlanmış, yeni kurbanlara ulaşmak için sosyal güven ve otomasyondan yararlanmaktadır.
Trend araştırma telemetrisi, tespit edilen 477 enfeksiyonun 457’sinin Brezilya’dan, öncelikle hükümet ve kamu hizmeti kuruluşları içinde olduğunu, aynı zamanda üretim, teknoloji, eğitim ve inşaat sektörlerini de etkilediğini göstermektedir.
Saldırı, bir kullanıcı, genellikle bir meslektaşı veya arkadaş olarak görünen, WhatsApp’ta bir kimlik avı mesajı aldığında başlar.
Portekizce’deki bu mesajlar, meşru belgelere benzeyen bir zip arşivini içerir-örnekler arasında “res-20250930_112057.zip”, “orcamento_114418.zip” veya sağlık-uygulama makbuzları-alıcıyı PC’de zip indir ve açın) için alıcıyı içerir.
Kanıtlar, e-postanın alternatif bir vektör olduğunu gösteriyor, kimlik avı e-postaları, “comprovante_20251001_094031.zip” veya “comprovantesantander-75319981.682657420.zip,“ görünüşte meşru gönderen adreslerinden ”gönderilen“ documento de raFael ”gibi gönderiyor” olarak gösteriyor.
Zip’in içinde, yürütüldüğünde, bir PowerShell veya komut satırı komut dosyasını gizlice başlatan bir Windows kısayol (.lnk) dosyası bulunur.
Bu komut dosyası, saldırgan kontrollü alanlardan birincil yükü indirir-Sorvetenopoate gibi tip-squatted url’ler[.]com, expahnsiveuser[.]com ve buzlu creamenopotel[.]com – kötü amaçlı bileşenleri teslim etmek için API uç noktaları olarak hizmet eder.
Zararsız kısayollar olarak maskelenerek, bu LNK dosyaları temel antivirüs algılamasından kaçarak kampanyanın bir dayanak tutmasını sağlıyor.
Kalıcılık ve yük yürütme
İndirilen yük, genellikle Windows başlangıç klasörüne kopyalayarak kalıcılığı koruyarak her önyüklemede yürütülmesini sağlayan bir parti (.bat) komut dosyasıdır.
Bu komut dosyası, parametreleri için Base64 kodlama kullanarak gizli modda gizlenmiş bir PowerShell komutunu birleştirir ve yürütür.
Kod çözüldükten sonra, komut dosyası birden fazla komut ve kontrol (C&C) sunucularına ulaşır, disk yazılarından kaçınarak ve adli izleri azaltırken, çağırma ekspresyonu yoluyla ek bellek içi yükleri indirir ve yürütür.
Trend Araştırma Analizi, kötü amaçlı yazılımların C&C altyapısı ile sürekli iletişimi sürdürdüğünü vurgulayarak tehdit aktörlerinin talimatları güncellemesine veya ikincil modülleri dağıtmasına izin verdi.
Teslimat ve kalıcılık tekniklerinin karmaşıklığına rağmen, mevcut kampanya etkinliği veri açığa çıkma veya dosya şifreleme kanıtı göstermemektedir; Vurgu, daha derin sistem uzlaşmasından ziyade kendi kendini tanıtmaya devam etmektedir.
SorvePotel’in ayırt edici özelliği, enfekte edilmiş makinelerde aktif WhatsApp web oturumlarını tespit etme yeteneğidir. Doğrulanmış bir oturumu belirledikten sonra, kötü amaçlı yazılım aynı kötü amaçlı zip dosyasını, kurbanın adres defterindeki tüm kişilere ve gruplara otomatik olarak yeniden dağıtır.
Bu otomatik yönlendirme mekanizması, üstel yayılmayı yönlendirir, hedefleri spam ile su altında bırakır ve sıklıkla uzatılmış hesapların WhatsApp’ın hizmet şartlarını ihlal ettiği için askıya alınmasına veya yasaklanmasına neden olur.
SorvePotel’in arkasındaki tehdit aktörleri, “Sorvete NO Pote” (bir fincandaki dondurma) ve şifreleme ve kodlama ile komutları gömme ifadesini taklit eden yazım hatalı alanları kullanarak çoklu seviyelerde istismardan yararlanır.
Müşteri gibi alanlar dahil ek altyapı[.]RTE[.]com[.]BR, kötü amaçlı yazılım dağılımı için kullanılmıştır, bu da teslimat kanallarının devam eden adaptasyonunu ve çeşitlendirilmesini gösterir.
Hafifletme
SorvePotel kampanyası, popüler mesajlaşma platformlarının kötü amaçlı yazılım dağıtımı için kuvvet çarpanları olarak nasıl hizmet edebileceğini vurgulamaktadır.
Minimal kullanıcı eylemi ile hızlı kendini gösterme, otomasyonla birlikte sosyal mühendisliğin gelişen manzarasını göstermektedir.
Kuruluşlar sağlam kimlik avı savunmalarını uygulamalı, mümkün olduğunca LNK dosyalarının otomatik olarak yürütülmesini devre dışı bırakmalı ve anormal WhatsApp web oturumu davranışlarını izlemelidir.
Mevcut kapsam, yıkıcı yüklerden ziyade yaygın enfeksiyon ve hesap yasaklarına odaklanırken, finansal verileri hedefleyen önceki Brezilya kampanyalarına paralellikler gelecekteki artış potansiyeli olduğunu göstermektedir.
Kullanıcı farkındalık eğitimi kritiktir – mesajlaşma uygulamaları aracılığıyla alınan ekleri açarken çalışanların dikkatli olması gerekir.
Trend Micro, SorvePotel’i yakından izlemeye devam ediyor ve güncellenmiş uç nokta güvenlik çözümlerinin sürdürülmesini, en az müstehcen prensipleri uygulamayı ve mesajlaşma platformlarını hedefleyen gelişmekte olan tekniklere karşı uyanık kalmayı tavsiye ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.