Brezilya merkezli yeni bir zararlı yazılım, WhatsApp üzerinden yayılarak kullanıcıların banka bilgileri başta olmak üzere kişisel verilerini hedef alıyor. Uzmanlar, virüse karşı dikkatli olunması konusunda uyarıyor.
WhatsApp Üzerinden Gelen Mesajlarla Yayılıyor
Siber güvenlik araştırmacıları, “SORVEPOTEL” adlı yeni bir zararlı yazılımın hızla yayıldığını duyurdu. Brezilya merkezli olarak tespit edilen virüs, WhatsApp üzerinden gönderilen oltalama mesajlarıyla Windows sistemlerine bulaşıyor.
Trend Research tarafından yayımlanan verilere göre, bugüne kadar tespit edilen 477 vakanın 457’si Brezilya’da görülürken, saldırıların dünya geneline yayılma eğilimi gösterdiği bildirildi.
Hedef: Kamu Kurumları ve Şirketler
Saldırının en çok kamu kurumlarını ve devlet hizmetlerini etkilediği, ayrıca üretim, teknoloji, eğitim ve inşaat sektörlerindeki şirketlerin de hedef alındığı belirtildi.
SORVEPOTEL’in amacı, klasik fidye saldırılarından farklı olarak veri çalmak yerine sistemsel aksaklıklar oluşturarak geniş çaplı bir etki yaratmak.
“ZIP’i İndir ve Aç” Tuzağı
Virüsün bulaşma süreci, tanıdık bir kişiden gelen WhatsApp mesajıyla başlıyor.
Bu mesajlarda genellikle Portekizce olarak “baixa o zip no PC e abre” (ZIP’i indir ve aç) ifadeleri yer alıyor.
Kurban dosyayı indirdiğinde, zararsız görünen ancak aslında bir Windows kısayol dosyası (.LNK) içeren ZIP arşivini açmış oluyor.
Bu dosyalar, antivirüs taramalarından kaçabilecek şekilde tasarlanmış durumda. Çalıştırıldığında ise arka planda PowerShell komutları devreye giriyor ve zararlı yazılım saldırganların kontrolündeki sunuculardan indiriliyor.
WhatsApp Web Oturumlarını Ele Geçiriyor
SORVEPOTEL’in en tehlikeli özelliği, bulaştığı bilgisayarda aktif WhatsApp Web oturumlarını tarayarak ele geçirmesi.
Saldırganlar, bu oturumları kullanarak aynı zararlı ZIP dosyasını kullanıcının tüm kişi ve gruplarına otomatik olarak gönderiyor.
Bu sayede virüs, üstel bir hızla yayılabiliyor.
Saldırı sonucunda birçok WhatsApp hesabının spam faaliyetleri nedeniyle askıya alındığı da bildirildi.
Gizli Komutlarla İzini Kaybettiriyor
Uzmanlar, SORVEPOTEL’in “sorvetenopoate[.]com”, “expahnsiveuser[.]com” ve “sorvetenopotel[.]com” gibi alan adları üzerinden faaliyet gösterdiğini belirtiyor.
Alan adlarının Portekizcede “dondurma kabı” anlamına gelen “sorvete no pote” ifadesini taklit etmesi, saldırganların dikkat çekmemek için gizleme (obfuscation) yöntemleri kullandığını gösteriyor.
Uzmanlardan Uyarı: “Tanınan Kişiden Gelse Bile Açmayın”
Siber güvenlik uzmanları, bu tür tehditlere karşı hem kurumsal hem bireysel önlemler alınması gerektiğini vurguluyor.
Uzmanlara göre alınabilecek başlıca önlemler şunlar:
- Güçlü oltalama (phishing) koruma sistemleri kurulmalı.
- Kısayol (.LNK) dosyalarının yetkisiz çalıştırılması engellenmeli.
- WhatsApp Web gibi platformlardaki olağan dışı etkinlikler izlenmeli.
- Çalışanlara düzenli siber güvenlik farkındalık eğitimleri verilmeli.
Kullanıcıların ise özellikle tanıdık kişilerden gelse bile, mesajlaşma uygulamaları üzerinden gönderilen şüpheli dosya eklerini açmamaları gerekiyor.