WhatsApp üzerinden yayılan SORVEPOTEL tehdidi hızla yayılıyor
Siber güvenlik uzmanları, Brezilya merkezli SORVEPOTEL adlı zararlı yazılımın WhatsApp aracılığıyla hızla yayıldığını ve kurumsal ağlarda operasyonel aksaklık yaratmayı hedeflediğini açıkladı. Virüsün en dikkat çekici özelliği, bulaştığı bilgisayarda açık bir WhatsApp Web oturumu bulduğunda aynı sahte ZIP dosyasını otomatik olarak kişi ve gruplara göndermesi; böylece bulaşma zincirinin üstel hızla büyümesine yol açması.
Bulaşma mekanizması: ZIP → .LNK → PowerShell
SORVEPOTEL, tipik bir oltalama senaryosuyla yayılıyor. Kullanıcıya WhatsApp üzerinden gönderilen mesajda ZIP formatında bir dosya yer alıyor; ZIP açıldığında görünürde masum bir belge yerine Windows kısayol dosyası (.LNK) bulunuyor. Bu .LNK dosyası çalıştırıldığında arka planda saldırgan sunucularından ana zararlı bileşen indirilip çalıştırılıyor. Zararlı, Base64 ile kodlanmış PowerShell komutları kullanarak bellekte ek modüller çalıştırıyor ve sabit diske yazmadığı için tespiti zorlaştırıyor.
Kalıcılık ve WhatsApp Web oturumlarının suiistimali
SORVEPOTEL, kendisini Windows başlangıç klasörüne kopyalayarak sistem her açıldığında aktif kalmayı sağlıyor. Ayrıca aktif WhatsApp Web oturumlarını tarayıp doğrulanmış bir oturum bulduğunda aynı kötü amaçlı ZIP’i otomatik paylaşarak bulaşmayı katlıyor. Bu davranış, hem bireysel kullanıcılarda hem de kurumsal ağlarda hızla yayılma ve hesapların spam nedeniyle askıya alınması riskini artırıyor.
Hedefler ve saldırının niteliği
Saldırının odaklandığı hedefler arasında kamu kurumları ve kritik hizmetler, üretim, teknoloji, eğitim ve inşaat sektörleri bulunuyor. SORVEPOTEL’in ilk dalgası doğrudan veri çalmaktan ziyade sistemlerde operasyonel kesintiler yaratmaya yönelik; ancak uzmanlar, hızlı yayılmanın daha yıkıcı varyantlar için uygun ortam yarattığı uyarısında bulunuyor.
Korunma ve acil önlemler (uzman tavsiyeleri)
-
Tanıdığınız kişiden gelse bile şüpheli .zip veya ekleri açmayın.
-
ZIP içindeki dosya uzantılarını görünür yapıp .LNK, .EXE, .PS1 gibi çalıştırılabilir dosyalara dikkat edin.
-
WhatsApp Web oturumlarını düzenli olarak kontrol edin; oturum açık cihazları oturumu kapat seçeneği ile yönetin.
-
Uç nokta koruması, güçlü oltalama filtreleri ve PowerShell komutlarını kısıtlayan politikalar uygulayın.
-
Çalışanlara düzenli siber güvenlik farkındalık eğitimi verin; oltalama simülasyonları yapın.
-
Sistemlerde anormal ağ trafiği veya otomatik mesaj gönderimi gözlemlerseniz hızla bağlantıyı kesin ve uzmanlarla irtibata geçin.
Uzman uyarısı
Güvenlik araştırmacıları, SORVEPOTEL dalgasının şu an doğrudan yıkıcı bir etki yaratmasa da, hızlı yayılma yeteneğinin ileride daha tehlikeli varyantların ortaya çıkması için zemin hazırladığına dikkat çekiyor. Kullanıcılar ve kurumlar dikkatli davranıp temel önlemleri almazsa etkiler hızla büyüyebilir.
