Siber Güvenlik

WhatsApp’ta Sahte Belgelerle Gizlenen Kötü Amaçlı Yazılım Tehdidi

WhatsApp VBScript kampanyası, kullanıcıları kandırmak için hazırlanan sahte belgeler aracılığıyla ManageEngine RMM aracını sisteme yüklemeye çalışıyor. Siber güvenlik uzmanları, saldırganların bu yöntemi kullanarak kullanıcıların iletişim uygulamaları üzerinden gizlice erişim sağladığını belirtiyor. Bu durum, özellikle WhatsApp Desktop ve WhatsApp Web kullanıcıları için ciddi bir risk teşkil ediyor.

Saldırı Vektörü Olarak WhatsApp Kullanımı

Son dönemde tespit edilen bir siber tehdit, popüler mesajlaşma uygulaması WhatsApp’ı hedef alıyor. Saldırganlar, WhatsApp üzerinden gönderdikleri zararlı Visual Basic Script (VBScript) dosyalarını, meşru görünen iş ve finans belgeleri gibi göstererek kullanıcıları tuzağa düşürüyor. Bu sahte ekleri indiren ve çalıştıran kullanıcıların sistemlerine, farkında olmadan zararlı yazılımlar yükleniyor. Bu saldırı zinciri, kullanıcıların gizliliğini ve veri güvenliğini tehlikeye atıyor.

Güvenlik araştırmacıları tarafından yapılan incelemeler, bu kampanyanın özellikle Malezya, Brezilya, Hindistan, Meksika, Singapur, Birleşik Krallık, İspanya, Tayvan, Avustralya, Rusya ve Vietnam gibi geniş bir coğrafyada kullanıcıları hedef aldığını ortaya koyuyor. En yüksek mağdur yoğunluğunun ise Malezya’da kaydedildiği bildirildi. Saldırganların motivasyonu, ele geçirdikleri WhatsApp hesaplarını kullanarak, bu hesaplar aracılığıyla kendi iletişim ağlarındaki kişilere ulaşmak ve zararlı VBScript dosyalarını yaymak olarak görülüyor. Ancak bu hesapların nasıl ele geçirildiği henüz netlik kazanmış değil.

Bu durum, kullanıcıların çevrimiçi iletişimlerinde dikkatli olmalarını ve şüpheli dosya eklerine karşı tetikte bulunmalarını gerektiriyor. Birçok kullanıcı, geleneksel e-posta dolandırıcılıklarından haberdar olsa da, mesajlaşma uygulamalarının da benzer riskler taşıyabileceği gerçeği göz ardı edilmemeli. Kullanıcılar, bilinmeyen kaynaklardan gelen veya beklenmedik ekleri içeren mesajlara karşı ekstra özen göstermeli. Siber güvenlik önlemlerinin güncellenmesi ve farkındalığın artırılması bu tür tehditlerle mücadelede kritik rol oynuyor. Peki, WhatsApp üzerindeki bu gizli tehditlere karşı ne gibi adımlar atmalısınız?

Zararlı VBScript Dosyalarının İncelenmesi

Kampanyada kullanılan VBScript dosyaları, gelişmiş bir gizlenme tekniğiyle hazırlanmış. Bu dosyalar, “Financial Reports.vbs” veya “Account Statement.vbs” gibi isimlerle kullanıcıların karşısına çıkıyor. Dosyaların uzantılarının .vbs olması dikkatli kullanıcılar tarafından fark edilebilirken, saldırganlar bu tür teknik detayları gizlemeye çalışabiliyor. Hatta bazı dosya isimlerinin Portekizce, Fransızca, Almanca ve Malayca gibi farklı dillerde olması, kampanyanın küresel ölçekte yürütüldüğünü gösteriyor. Bu çeşitlilik, saldırganların farklı dil konuşan kullanıcıları hedefleyebildiğini kanıtlıyor.

Kaspersky’nin raporuna göre, bu VBScript örnekleri, aynı zamanda Microsoft Windows Update bileşenlerini taklit etmeyi amaçlayan kapsamlı yorumlar ve meta veriler içeriyor. Bu yorumların birçoğu Çince yazılmış ve Windows Update modülleri, sertifika doğrulama, sistem bütünlüğü kontrolleri ve dağıtımla ilgili işlevselliklere atıfta bulunuyor. Bu taklitçi yaklaşım, dosyaların meşru sistem güncellemeleri veya dosyaları gibi görünmesini sağlayarak kullanıcıların güvenini kazanmayı hedefliyor. Bu tür detaylar, siber suçluların ne kadar sofistike yöntemler kullandığını gözler önüne seriyor.

Saldırganlar, meşru yazılımların güvenilirliğini kullanarak, kullanıcıları kendi zararlı amaçları için kandırmakta ustalaşıyor.

VBScript dosyası, “WScript.exe” kullanılarak başlatılıyor. Bu işlem, ardından saldırının sonraki aşamaları için gerekli olan ek VBScript bileşenlerini getirip çalıştırıyor. Bu çok aşamalı yapı, tespit edilme olasılığını azaltmak ve saldırının farklı aşamalarını birbirinden ayırmak için tasarlanmış olabilir. Her bir aşama, bir önceki aşamanın başarısına bağlı olarak ilerliyor ve nihai hedef olan ManageEngine RMM aracının yüklenmesine kadar devam ediyor.

WhatsApp Web ve Desktop Farklılıkları

Zararlı yazılımın enfeksiyon zinciri, kurbanın WhatsApp Web mi yoksa WhatsApp Desktop uygulaması mı kullandığına bağlı olarak küçük farklılıklar gösteriyor. Bu durum, saldırganların hedef platformun özelliklerinden faydalanarak saldırılarını optimize etmeye çalıştığını düşündürüyor. Farklılıklar, zararlı dosyaların sisteme nasıl ulaştığını ve tetiklendiğini etkiliyor.

WhatsApp Web söz konusu olduğunda, saldırı kullanıcının dosyayı sistemine indirmesine ve ardından bunu meşru bir belge sanarak indirme klasöründen veya tarayıcının indirme geçmişi aracılığıyla açmasına dayanıyor. Bu senaryoda, kullanıcıdaki bir anlık dikkatsizlik veya yanlış anlama, zararlı yazılımın sisteme sızmasına yol açıyor. Kullanıcıların indirdikleri dosyaların kaynağını ve türünü doğrulamaları bu aşamada büyük önem taşıyor.

WhatsApp Desktop uygulamasında ise durum biraz daha farklı işliyor. Burada zararlı yazılım, uygulama içinde doğrudan çalıştırılıyor. Süreç ağacını inceleyen uzmanlar, uygulama ile ilişkili arka plan işlemi olan “WhatsApp.Root.exe”nin, “WScript.exe”yi başlatmaktan sorumlu olduğunu tespit etti. Bu, zararlı yazılımın uygulama içine daha derinlemesine entegre olabildiğini ve kullanıcı müdahalesi olmadan otomatik olarak çalıştırılabildiğini gösteriyor. Bu durum, WhatsApp Desktop kullanıcıları için daha yüksek bir risk anlamına gelebilir.

Bu farklılıklar, siber güvenlik savunmalarının da platforma özgü stratejiler geliştirmesini gerektiriyor. Kullanıcıların hangi platformu kullandıklarına bakılmaksızın, ek güvenlik önlemleri almaları ve şüpheli davranışlara karşı uyanık olmaları hayati önem taşıyor. Peki, bu karmaşık saldırı yöntemlerinin ardındaki teknoloji nedir?

ManageEngine RMM Aracının Yüklenmesi ve Amaçları

VBScript’in birincil amacı, uzaktaki bir sunucudan iki ikincil VBScript yüklemesi yapmaktır. Bu yüklemelerden biri, Windows Kullanıcı Hesabı Denetimi (UAC) davranışını değiştirmeye çalışır. UAC, bilgisayarınızda yetkisiz değişiklikler yapılmasını engelleyen bir güvenlik özelliğidir. Saldırganların bu özelliği değiştirmeye çalışması, sistemlerinde daha fazla yetki elde etmelerini ve kontrolü ele geçirmelerini kolaylaştırır. Bu tür bir müdahale, sistemin güvenlik duruşunu ciddi şekilde zayıflatır.

Diğer VBScript ise, ManageEngine RMM Central’ın yükleme paketini içeren bir ZIP dosyasını indirip çalıştırır. ManageEngine RMM (Remote Monitoring and Management), aslında meşru bir uzaktan izleme ve yönetim yazılımıdır. Ancak saldırganlar, bu meşru aracı kendi kötü niyetli amaçları için kullanıyor. Bu, siber suçluların tespit edilmekten kaçınmak için meşru araçları nasıl kötüye kullandıklarının tipik bir örneğidir. Kullanıcılar, sistemlerinde çalışan bu tür yönetim araçlarının farkında olmalı ve yetkisiz olduklarından emin olmalıdır.

Bu zararlı etkinliğin kim tarafından gerçekleştirildiği henüz belirlenememiş olsa da, Rus siber güvenlik şirketi Kaspersky, önceki faaliyetlerle bağlantılı altyapı örtüşmeleri (“202.61.160[.]201”) tespit

Peki Kötü Amaçlı RMM Araçlarına Karşı Ne Yapmalısınız?

Bu tür saldırılarla mücadele etmenin en etkili yolu, proaktif güvenlik önlemleri almaktır. Öncelikle, WhatsApp ve diğer iletişim platformlarında gelen dosya eklerine karşı daima şüpheci yaklaşın. Tanımadığınız veya beklemediğiniz kaynaklardan gelen hiçbir dosyayı indirmeyin veya açmayın. Dosya adlarını ve uzantılarını dikkatlice kontrol edin. VBS, JS, EXE gibi uzantılar, özellikle iş belgeleri içinde görünüyorsa, ciddi bir uyarı işareti olmalıdır.

Sistemlerinizde güncel ve güvenilir bir antivirüs veya kötü amaçlı yazılımdan koruma yazılımı bulundurun ve bu yazılımın sürekli güncel olduğundan emin olun. Bu tür yazılımlar, bilinen zararlı yazılımları tespit edip engelleyebilir. Ayrıca, Windows Güvenlik Duvarı ve Kullanıcı Hesabı Denetimi (UAC) gibi işletim sistemi güvenlik özelliklerini etkinleştirin ve varsayılan ayarlarda bırakın. UAC’yi devre dışı bırakmak veya düşük seviyeye ayarlamak, sisteminizi büyük risk altına sokar. Bu tür saldırılara karşı alınacak en temel önlem, bilinçli olmaktır.

Siber güvenlik, sürekli gelişen bir alan ve tehditler de buna paralel olarak evriliyor. Kullanıcıların bu yeni nesil saldırı vektörlerine karşı bilgi sahibi olması, kendi dijital güvenliklerini sağlamaları açısından büyük önem taşıyor. Türkiye’deki şirketler ve bireysel kullanıcılar da bu küresel tehditlere karşı gardlarını yükseltmeli, güvenlik politikalarını gözden geçirmeli ve çalışanlarını düzenli olarak siber güvenlik eğitimlerine tabi tutmalıdır. Unutmayın, en güçlü güvenlik duvarı bile bilinçsiz bir kullanıcı karşısında zayıf kalabilir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu