SORVEPOTEL Kötü Amaçlı Yazılım
SORVEPOTEL adlı hızla yayılan bir kötü amaçlı yazılım saldırısı, insanların WhatsApp'a olan güvenini istismar ederek Windows ortamlarında kendini yayıyor. Veri hırsızlığı veya fidye yazılımı için geliştirilen birçok modern saldırının aksine, bu saldırı hızlı ve geniş çaplı yayılma için optimize edilmiş; bu da onu, tek bir ele geçirilmiş masaüstünün çok daha fazla enfeksiyona yol açabileceği kurumsal ortamlarda özellikle tehlikeli hale getiriyor.
İçindekiler
SORVEPOTEL Nedir?
SORVEPOTEL, sosyal mühendislik ve WhatsApp'ın masaüstü/web sürümünden yararlanarak kurbanın kişilerine ve gruplarına kötü amaçlı ekler dağıtan, kendi kendini yayan bir Windows kötü amaçlı yazılım ailesidir. Birincil amacı, anında veri sızdırma veya dosya şifreleme değil, hızlı yayılma ve hesap kötüye kullanımı (spam ve hesap yasaklarıyla sonuçlanan) gibi görünmektedir.
Kurbanlar Nasıl Çekilir?
Saldırganlar, ele geçirilmiş bir WhatsApp kişisinden veya bazı durumlarda meşru görünen bir e-posta adresinden başlar. Mesaj, zararsız bir öğe (örneğin, bir makbuz veya sağlık uygulaması dosyası) gibi gizlenmiş bir ZIP dosyası içerir. Alıcı ZIP dosyasını masaüstünde açarsa, genellikle aşağıdaki adımlar gerçekleşir:
- Mağdur, arşivin içerisinde bir Windows kısayolunu (LNK) başlatmaya kandırılır.
- LNK, harici bir ana bilgisayardan (tanımlanan bir örnek sorvetenopoate.com'dur) bir sonraki aşama yükünü indiren bir PowerShell komutunu sessizce çalıştırır.
Alınan yük, kalıcılığı sağlayan ve daha fazla komutu yürüten bir toplu iş betiğidir.
Yürütme Ayrıntıları ve Kalıcılık Mekanizmaları
Toplu iş betiği yüklendikten sonra, sistem önyüklemesinden sonra otomatik olarak çalışması için kendini Windows Başlangıç klasörüne kopyalar. Ayrıca, takip talimatları veya ek bileşenler almak için bir Komut ve Kontrol (C2) sunucusuyla iletişim kurmak üzere PowerShell'i de çalıştırır. Bu davranışlar, kötü amaçlı yazılımın yerleşik kalmasını ve operatörlerden uzaktan komutları kabul etmesini sağlar.
WhatsApp Yayılma Motoru Olarak
SORVEPOTEL'in temel özelliklerinden biri, WhatsApp'a duyarlı yayılma rutinidir. Kötü amaçlı yazılım, WhatsApp Web'in (masaüstü/web istemcisi) enfekte makinede etkin olduğunu tespit ederse, aynı kötü amaçlı ZIP dosyasını otomatik olarak şuraya dağıtır:
- Tehlikeye atılan hesapla bağlantılı tüm kişiler ve
- Hesabın ait olduğu tüm gruplar.
Bu otomatik dağıtım, çok yüksek miktarda giden spam üretiyor ve bu da sıklıkla WhatsApp'ın kötüye kullanım tespitini tetikliyor ve hesapların askıya alınmasına veya yasaklanmasına yol açıyor.
Kapsam ve Kimler Vuruldu
Kampanya şu ana kadar ağırlıklı olarak Brezilya'da yoğunlaştı: Kaydedilen 477 vakanın 457'si orada görüldü. Hedeflenen kuruluşlar çeşitli sektörleri kapsıyor, özellikle:
- hükümet ve kamu hizmetleri
- üretme
- teknoloji
- eğitim
- yapı
Dikkat çekici olan, operatörlerin elde ettikleri erişimi toplu veri hırsızlığı veya fidye yazılımı dağıtmak için kullanmamış olmalarıdır; gözlemlenebilir sonuç agresif yayılma ve hesap kötüye kullanımı olmuştur.
Gözlemlenen Ek Dağıtım Vektörleri
WhatsApp tabanlı mesajlar birincil yayılma yolu olsa da analistler, saldırganların aynı kötü amaçlı ZIP eklerini e-posta yoluyla da dağıttıklarına, bazen güvenilirliği artırmak için görünüşte meşru gönderici adresleri kullandıklarına dair kanıtlar buldular.
Bu Kampanya Neden Önemli?
SORVEPOTEL, saldırganların minimum kullanıcı etkileşimiyle erişimi artırmak için ana akım iletişim platformlarını kullandıkları bir eğilimi göstermektedir. Güvenilir bir kişiyi ve WhatsApp Web'in kolaylığını silah olarak kullanan bu kötü amaçlı yazılım, gelişmiş veri hırsızlığı bileşenlerine ihtiyaç duymadan kuruluşlar arasında hızlı bir şekilde yatay yayılım sağlamaktadır.
Kapanış Notu
SORVEPOTEL, sosyal platformların kötü amaçlı yazılımlar için cazip yayılma kanalları olduğunu hatırlatıyor. Hızlı tespit, kullanıcı eğitimi ve masaüstü bilgisayarlarda komut dosyası yürütmeyi sınırlayan ve mesajlaşma istemcilerini izleyen kontroller, bu kampanyanın istismar ettiği saldırı yüzeyini önemli ölçüde azaltacaktır.
