WhatsApp Kötü Amaçlı Yazılım Kampanyası
Siber suçlular, WhatsApp doğrudan mesajlarını kullanarak, ele geçirdikleri sistemlere yasal Uzaktan İzleme ve Yönetim (RMM) yazılımı yükleyen kötü amaçlı Visual Basic Script (VBScript) dosyalarını dağıtıyor. Bu kampanya, Malezya, Brezilya, Hindistan, Meksika, Singapur, Birleşik Krallık, İspanya, Tayvan, Avustralya, Rusya ve Vietnam dahil olmak üzere birçok ülkede WhatsApp Masaüstü ve WhatsApp Web kullanıcılarını hedef aldı. Etkilenen kullanıcı sayısı en yüksek olan ülke Malezya oldu.
Araştırmacılar, saldırganların çeşitli WhatsApp hesaplarına yetkisiz erişim sağladığından ve ardından bu ele geçirilmiş profilleri kullanarak kişi listelerindeki kişilere kötü amaçlı dosyalar gönderdiğinden şüpheleniyor. Ancak, bu hesapların ele geçirilmesinde kullanılan kesin yöntem henüz bilinmiyor.
İçindekiler
İş Belgeleri Kılığında Gizlenmiş
Saldırganlar, kurbanları kötü amaçlı dosyaları açmaya ikna etmek için sosyal mühendislik yöntemlerine başvuruyor. VBScript ekleri, meşru iş ve finans belgeleri gibi gizlenmiş olup 'Finansal Raporlar.vbs' ve 'Hesap Özeti.vbs' gibi inandırıcı dosya adları kullanıyor. Kampanyanın uluslararası erişimini desteklemek için bazı dosyalar Portekizce, Fransızca, Almanca ve Malayca dillerinde de sunuluyor.
Komut dosyaları oldukça karmaşık bir yapıya sahip olup, gerçek Microsoft Windows Update bileşenlerini taklit etmek üzere tasarlanmış kapsamlı yorumlar ve meta veriler içermektedir. Çok sayıda yorum Çince yazılmış olup, şu gibi işlevlere atıfta bulunmaktadır:
- Windows Güncelleme modülleri
- Sertifika doğrulama prosedürleri
- Sistem bütünlüğü kontrolleri
- Dağıtımla ilgili süreçler
Bu unsurlar, dosyaların meşru görünmesini sağlamak ve güvenlik analizini zorlaştırmak amacıyla tasarlanmıştır.
Çok Aşamalı Enfeksiyon Zinciri Uzaktan Erişimi Mümkün Kılıyor
'WScript.exe' aracılığıyla çalıştırıldıktan sonra, kötü amaçlı VBScript, ek VBScript bileşenlerini indirip çalıştırarak çok aşamalı bir enfeksiyon sürecini başlatır. İlk betiğin birincil amacı, uzak bir sunucudan iki ikincil yükü almaktır. Yüklerden biri Windows Kullanıcı Hesabı Kontrolü (UAC) davranışını değiştirmeye çalışırken, diğeri ManageEngine RMM Central'ın kurulum paketini içeren bir ZIP arşivini indirip çalıştırır.
Yasal RMM yazılımının başarılı bir şekilde kurulması, saldırganlara uzaktan erişim yeteneği kazandırarak kurbanın sistemini kontrol etmelerini sağlar.
WhatsApp Web ve Masaüstü Uygulamalarında Farklı Yürütme Yolları
Bulaşma süreci, kullanılan WhatsApp platformuna bağlı olarak farklılık gösterir. WhatsApp Web'de, mağdurların dosyayı indirmeleri ve indirme klasöründen veya tarayıcı geçmişinden manuel olarak açmaları gerekir; bunu gerçek bir belge zannederler.
Bunun aksine, WhatsApp Masaüstü uygulaması, kötü amaçlı yazılımın doğrudan istemci ortamında çalışmasına olanak tanır. Süreç analizi, uygulamanın arka plan işlemi olan 'WhatsApp.Root.exe'nin, kötü amaçlı yazılım zincirini başlatan 'WScript.exe'yi çalıştırmaktan sorumlu olduğunu göstermektedir.
Önceki Kötü Amaçlı Yazılım Operasyonlarıyla Olası Bağlantılar
Kampanya henüz resmi olarak belirli bir tehdit grubuna atfedilmemiş olsa da, araştırmacılar Gh0st RAT ve ValleyRAT kötü amaçlı yazılım aileleriyle ilişkili önceki kötü amaçlı faaliyetlerle altyapı örtüşmeleri tespit etti. Bu benzerlikler, operasyonun daha önceki siber suç kampanyalarıyla kaynakları veya taktikleri paylaşıyor olabileceğini düşündürmektedir.
WhatsApp Kullanıcıları İçin Temel Önlemler
Güvenlik uzmanları, WhatsApp üzerinden beklenmedik ekler alındığında, mesajlar güvenilir kişilerden gelmiş gibi görünse bile kullanıcıların dikkatli olmasını tavsiye ediyor. Aşağıdaki dosya türleri, meşruiyetleri bağımsız olarak doğrulanmadıkça asla açılmamalıdır:
- VBS ve VBE komut dosyası dosyaları
- EXE, BAT ve CMD gibi çalıştırılabilir dosyalar.
- JS ve PS1 dahil olmak üzere komut dosyası tabanlı formatlar
Ekleri açmadan önce doğrulamak, güvenilir iletişim platformlarını kullanan kötü amaçlı yazılım saldırılarına karşı en etkili savunma yöntemlerinden biri olmaya devam etmektedir.
