Güvenlik araştırmacıları, Brezilya finans kurumlarını ve kripto para borsalarını hedef alan bankacılık truva atlarını dağıtmak için WhatsApp’ın mesajlaşma platformunu kullanan karmaşık bir kötü amaçlı yazılım kampanyası tespit etti.
29 Eylül 2025’te ortaya çıkan, kendi kendine yayılan solucan, modern güvenlik savunmalarını atlatmak için tasarlanmış gelişmiş kaçırma tekniklerini ve çok aşamalı enfeksiyon zincirlerini gösteriyor.
Tehdit halihazırda 1.000’den fazla uç noktada 400’den fazla müşteri ortamını etkilemiş durumda ve bu da kampanyanın yaygın erişimini ve etkinliğini vurguluyor.
Saldırı, kurbanların daha önce virüs bulaşmış bir kişiden WhatsApp Web aracılığıyla kötü amaçlı bir ZIP arşivi almasıyla başlıyor.
Mesajda, ekli içeriğin yalnızca bir bilgisayarda görüntülenebileceğini iddia ettiği ve alıcıları, kötü amaçlı yazılımı mobil cihazlar yerine masaüstü sistemlere indirmeye ve çalıştırmaya etkili bir şekilde zorladığı için sosyal mühendislik bileşeni özellikle akıllıdır.
.webp)
Bu stratejik yaklaşım, kötü amaçlı yazılımın kalıcılık sağlayabildiği ve tüm yük kapasitesi yeteneklerini kullanabildiği bir ortamda çalışmasını sağlar.
Sophos analistleri, Brezilya genelindeki çok sayıda olayı araştırırken, kötü amaçlı yazılımın karmaşık enfeksiyon mekanizmasını tespit etti.
Tehdit aktörleri, kötü amaçlı yazılımın uzun süreler boyunca tespit edilmeden çalışmasına olanak tanıyan gizleme tekniklerini uygulayarak, Windows güvenlik mimarisi ve PowerShell yeteneklerini derinlemesine anladığını gösteriyor.
Kampanyanın teknik karmaşıklığı, Brezilya bankacılık sistemleri hakkında önemli kaynaklara ve bilgiye sahip deneyimli siber suçluların katılımını akla getiriyor.
Çok Aşamalı PowerShell Enfeksiyon Zinciri
Kötü amaçlı yazılımın yürütülmesi, ZIP arşivinde gizlenen kötü amaçlı bir Windows LNK dosyasıyla başlar. Yürütüldüğünde LNK dosyası, Base64 kodlu bir PowerShell komutunu oluşturan ve çalıştıran karmaşık bir Windows komutu içerir.
.webp)
Bu ilk aşama PowerShell betiği, hxxps dahil komut ve kontrol sunucularından sonraki aşama yükünü indiren bir Explorer işlemini gizlice başlatır.[:]//www.zapgrande[.]com, geniş kullanıcı[.]com ve dondurma[.]com.
İkinci aşama PowerShell komutu, açık güvenlik kontrolü değişiklikleri yoluyla kötü amaçlı yazılımın savunma amaçlı saldırı yeteneklerini gösterir.
PowerShell koduna yerleştirilmiş Portekizce yorumlar, yazarın “Microsoft Defender’a bir dışlama ekleme” ve “UAC’yi (Kullanıcı Hesabı Denetimi) devre dışı bırakma” niyetini ortaya koyuyor.
Bu değişiklikler, kötü amaçlı yazılımın güvenlik uyarılarını tetiklemeden veya ayrıcalıklı işlemler için kullanıcı etkileşimi gerektirmeden çalışabileceği izin veren bir ortam yaratır.
Kampanya, virüslü sistemin özelliklerine bağlı olarak iki farklı yük sunuyor: ChromeDriver’la eşleşen yasal bir Selenium tarayıcı otomasyon aracı ve Maverick adlı bir bankacılık truva atı.
Selenyum yükü, saldırganların aktif tarayıcı oturumlarını kontrol etmesine olanak tanıyarak WhatsApp web oturumunun ele geçirilmesini kolaylaştırıyor ve solucanın kendi kendine yayılma mekanizmasını etkinleştiriyor.
Bu arada Maverick bankacılık truva atı, Brezilya bankalarına ve kripto para borsalarına olan bağlantılar için tarayıcı trafiğini izliyor ve finansal hedeflere erişildiğinde ek .NET tabanlı bankacılık kötü amaçlı yazılımları dağıtıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
