WhatsApp üzerinden süratle yayılan ve “SORVEPOTEL” ismi verilen yeni bir virüs konusunda ihtar yayımlandı. Trend Micro’nun araştırmasına nazaran bu ziyanlı virüs, tek bir makûs emelli ZIP evrakıyla sisteme sızabiliyor ve WhatsApp oturumu üzerinden otomatik olarak yayılarak kurbanın şahıslarından başkalarına de bulaşıyor.

WhatsApp Oturumunu Ele Geçiriyor

Saldırı, kullanıcıya tanıdık bir bireyden geliyormuş üzere gösterilen bir bildiriyle başlıyor. Bildiride yer alan ZIP evrakı açıldığında SORVEPOTEL, aygıtta çalışmaya başlıyor, WhatsApp Web oturumunu ele geçiriyor ve tüm kişi listesine birebir iletileri otomatik olarak göndererek yayılıyor.

Trend Micro’nun tahliline nazaran bu ziyanlı yazılım aslında infostealer (bilgi hırsızı) kategorisinde. Yazılım, fotoğraflar, iletiler, bireyler üzere hassas dataları gaye alabiliyor. Ayrıyeten berbat niyetli kod kesimleri, PowerShell komutları aracılığıyla C&C (komuta-kontrol) sunucularına irtibat kuruyor ve yeni bileşenler indirerek sistemde kalıcılık sağlıyor.

Saldırı zinciri tam olarak şöyle işliyor:

• ZIP içindeki belge açıldığında .LNK (Windows kısayol) evrakı çalışıyor.
• Bu .LNK evrakı art planda PowerShell komutları ile ziyanlı komutlar indiriyor ve yürütüyor.
• Yazılım daha sonra faal WhatsApp Web oturumlarını tarayıp ele geçirdiği hesap üzerinden virüsü başka bireylere gönderiyor.
• Kullanıcı fark etmeden bu süreç devam ediyor ve tehdit zincirleme formda yayılıyor.

Uzmanlar, bilhassa WhatsApp üzerinden gelen ZIP eki içeren iletilere karşı fevkalâde dikkatli olunması gerektiğini vurguluyor. Bildiri kimden gelirse gelsin, tanımadığınız evrakları açmamanız, temaslara tıklamamanız değerli. Ayrıyeten sistemin aktüel tutulması, antivirüs yazılımlarının faal olması, bilinmeyen kaynaklardan uygulama indirmenin sonlandırılması üzere tedbirler alınmalı.

Bu gelişme, iletileşme uygulamaları yoluyla yayılan otomatik tehditlerin ne kadar tehlikeli olabileceğini gösteriyor. Tek bir dikkat yanlışı, bilgisayarınızdaki tüm özel data ve gizliliğinizin açığa çıkmasına yol açabilir.