Brezilya, Kripto ve Bankacılık Uygulamalarını Hedef Alan WhatsApp Solucan Saldırılarıyla Karşılaşıyor

Brezilya'da yeni tespit edilen WhatsApp tabanlı bir solucan ve Trojan kampanyası, Eternidade olarak adlandırılan hızla yayılan kötü amaçlı yazılım kümesi aracılığıyla kripto cüzdanları ve banka hesaplarını tehlikeye atıyor.

Araştırmacılar Yeni Çok Aşamalı Tehdit Belirledi

Brezilyalı kripto kullanıcıları, finansal kimlik bilgilerini toplamak için tasarlanmış bir banka trojanı yaymak amacıyla WhatsApp ele geçirme yöntemini kullanan yeni bir kötü amaçlı yazılım operasyonu hakkında uyarılıyor. Trustwave SpiderLabs araştırmacıları, kampanyanın Eternidade olarak bilinen yeni bir çalma yazılımı etrafında döndüğünü açıkladı. Eternidade, komut ve kontrol altyapısını dinamik olarak güncelleyebilen ve kurbanlardan verileri gizlice toplayabilen Delphi tabanlı bir kötü amaçlı yazılımdır.

Araştırmacılar Nathaniel Morales, John Basmayor ve Nikita Kazymirskyi, WhatsApp'ın Brezilya'nın siber suç ekosisteminde merkezi bir rol oynamaya devam ettiğini belirtti.

“WhatsApp, Brezilya'nın siber suç ekosisteminde en çok istismar edilen iletişim kanallarından biri olmaya devam ediyor. Son iki yıl içinde, tehdit aktörleri taktiklerini geliştirdi ve platformun muazzam popülaritesini kullanarak banka trojanları ve bilgi çalan kötü amaçlı yazılımlar dağıttı.”

Enfeksiyon Zincirinin Nasıl Çalıştığı

Araştırma ekibine göre, devam eden operasyon, WhatsApp üzerinden gönderilen sosyal mühendislik mesajlarıyla başlıyor. Bu tuzaklar, alıcıları kötü amaçlı bağlantılara tıklamaya kandırmak için, teslimat bildirimleri, sahte yatırım grupları ve “sahte hükümet programları” gibi tanıdık formatları taklit ediyor.

Bağlantıya tıklandığında, hem bir kaçırma solucanı hem de Eternidade bankacılık trojanının dağıtımını tetikler. Solucan hemen kurbanın WhatsApp hesabını kontrol altına alır, kişi listesini çıkarır ve “akıllı filtreleme” kullanarak bireysel kişileri hedef alır, iş gruplarını atlayarak kişisel etkileşim olasılığını maksimize eder.

Aynı anda, cihazda sessizce bir trojan dosyası indirilir. Bu bileşen, arka planda Eternidade Stealer'ı kurarak saldırganların büyük Brezilya bankalarına, fintech platformlarına ve kripto para borsalarına ve cüzdanlarına bağlı kimlik bilgilerini taramasına olanak tanır.

Gmail Üzerinden Adaptif Komut ve Kontrol

Kampanyanın en önemli özelliklerinden biri, güncellenmiş komutları alma konusundaki alışılmadık yöntemidir. Statik sunucu adreslerine bağımlı olmak yerine, Eternidade, bir Gmail hesabına IMAP üzerinden giriş yapmak için sabit kodlanmış kimlik bilgilerini kullanır. Bu, saldırganların kontrol edilen hesaba e-posta göndererek güncellenmiş talimatlar iletmelerini sağlar.

Araştırmacılar bu tekniği raporlarında vurguladılar:

“Bu kötü amaçlı yazılımın dikkat çekici bir özelliği, C2 sunucusunu almak için e-posta hesabına giriş yapmak için sabit kodlu kimlik bilgilerini kullanmasıdır. Bu, C2'yi güncellemenin, sürekliliği sağlamanın ve ağ seviyesinde tespitlerden veya kapatma işlemlerinden kaçmanın çok akıllıca bir yoludur. Eğer kötü amaçlı yazılım e-posta hesabına bağlanamazsa, sabit kodlu bir yedek C2 adresi kullanır.”

İlgili Kötü Amaçlı Yazılım Faaliyeti

Eternidade operasyonu, SORVEPOTEL adlı bir WhatsApp Web solucanı kullanarak Maverick'i dağıtan Water Saci olarak bilinen başka bir Brezilya odaklı kötü amaçlı yazılım dalgasının hemen arkasında yer alıyor. Maverick, önceki Coyote kötü amaçlı yazılım varyantlarıyla bağlantılı bir .NET tabanlı banka trojanıdır. Bu olaylar, bölgede WhatsApp'ın birincil vektör olarak kullanılması ve kötü amaçlı yazılım geliştirme için Delphi tabanlı araçlara olan sürekli bağımlılığı vurgulayan kalıcı bir trendi ortaya koymaktadır.

Güvenlik Tavsiyeleri

Güvenlik uzmanları, WhatsApp kullanıcılarına tanımadıkları bağlantılara tıklamaktan kaçınmalarını tavsiye ediyor, hatta bunlar güvenilir kişiler tarafından gönderilmiş olsa bile. Şüpheli mesajları alternatif iletişim kanalları aracılığıyla doğrulamak öneriliyor, özellikle bağlantıyla birlikte az bir bağlam olduğunda.

Açıklama: Bu makale yalnızca bilgilendirme amaçlıdır. Hukuki, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmamaktadır veya kullanılmak üzere tasarlanmamıştır.