WhatsApp üzerinde hızla yayılan ve adı “SORVEPOTEL” olan yeni bir virüs hakkında bir uyarı yayınlandı. Trend Micro’nun araştırmasına göre, bu zararlı virüs, sisteme tek bir kötü amaçlı ZIP dosyasıyla sızabiliyor ve otomatik olarak WhatsApp oturumu üzerinden yayılarak kurbanın kişilerinden diğerlerine bulaşıyor.
WhatsApp Oturumlarına Sızıyor
Saldırı, kullanıcıya bir mesajla tanıdık bir kişiden geldiği izlenimi verilerek başlatılıyor. Mesajda bulunan ZIP dosyası açıldığında SORVEPOTEL, cihazda etkinleşerek WhatsApp Web oturumunu ele geçiriyor ve tüm kişi listesine aynı mesajları otomatik olarak ileterek yayılıyor.
Yapılan analize göre, bu zararlı yazılım aslında “infostealer (bilgi hırsızı)” kategorisine ait. Yazılım, fotoğraflar, mesajlar, kişiler gibi hassas verilere erişebiliyor. Ayrıca kötü niyetli kod parçaları, PowerShell komutları aracılığıyla C&C (komuta-kontrol) sunucularına bağlantı kurarak yeni bileşenler indiriyor ve sistemde kalıcılık sağlıyor.
Saldırı Süreci şu şekilde işliyor:
- ZIP dosyası açıldığında .LNK (Windows kısayol) dosyası çalıştırılıyor.
- Bu .LNK dosyası, PowerShell komutları ile zararlı komutlar indiriyor ve çalıştırıyor.
- Yazılım, etkin WhatsApp Web oturumlarını taramakta ve ele geçirdiği hesap üzerinden virüsü diğer kişilere iletiyor.
- Kullanıcı fark etmeden bu süreç devam ediyor ve tehdit zincirleme şekilde yayılıyor.
Uzmanlar, özellikle WhatsApp üzerinden gelen ZIP dosyalarını içeren mesajlara karşı dikkatli olunması gerektiğini vurguluyor. Mesajın kimden geldiğine bakılmaksızın, tanımadığınız dosyaları açmamak ve bağlantılara tıklamamak önemlidir. Ayrıca, sistemi güncel tutmak, antivirüs yazılımlarını aktif tutmak ve bilinmeyen kaynaklardan uygulama indirme işlemlerini sınırlamak da önemlidir.
Bu olay, mesajlaşma uygulamaları aracılığıyla yayılan otomatik tehditlerin ne kadar tehlikeli olabileceğini göstermektedir. Bir dikkat hatası, bilgisayarınızdaki tüm özel verilerin ve gizliliğinizin tehlikeye girmesine yol açabilir.
