Brezilya, Crypto Kullanıcılarını Yeni WhatsApp Kötü Amaçlı Yazılım Kampanyasına Karşı Uyarıyor: Korsanlık Solucanı Dağıtımı

Kaynak: CoinEdition Orijinal Başlık: Brezilya, Crypto Kullanıcılarını Yeni WhatsApp Kötü Amaçlı Yazılım Kampanyası Hakkında Uyardı ve Çalma Solucanı Dağıtıyor Orijinal Bağlantı: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Brezilya yetkilileri ve siber güvenlik analistleri, otomatik hesap ele geçirme ve sofistike bir bankacılık trojanı kullanan hızla yayılan bir kötü amaçlı yazılım kampanyası hakkında alarm verdi.

Trustwave SpiderLabs araştırmacıları tarafından tespit edilen operasyon, WhatsApp aracılığıyla yayılan bir solucanı, Eternidade Stealer olarak bilinen bir tehdit aracına bağlıyor ve saldırganların enfekte cihazlardan bankacılık kimlik bilgileri, kripto borsa girişleri ve diğer hassas finansal bilgileri elde etmesine olanak tanıyor.

Araştırmacılar Koordineli Aktiviteyi WhatsApp Tabanlı Tuzağı Takip Ediyor

SpiderLabs araştırmacıları Nathaniel Morales, John Basmayor ve Nikita Kazymirskyi’ye göre, kampanya, hükümet bildirileri, teslimat güncellemeleri, sahte yatırım grupları veya hatta arkadaşlardan gelen iletişimleri taklit eden sosyal mühendislik mesajlarına dayanıyor.

Bir kurban zararlı bağlantıyı açtığında, hem solucan hem de bankacılık trojani aynı anda yüklenir. Solucan hemen kurbanın WhatsApp hesabını ele geçirir, iletişim listesini çıkarır ve grup veya iş numaralarını filtreleyerek bire bir hedeflemeye öncelik verir.

Bu süreçte, eşlik eden trojan, Eternidade Stealer payload’unu teslim eder. Kötü amaçlı yazılım, ardından sistemde Brezilya bankacılık platformları, fintech hesapları ve kripto ile ilgili hizmetler, cüzdanlar ve borsalarla bağlantılı kimlik bilgilerini tarar. Araştırmacılar, bu çift aşamalı yapının, WhatsApp’ı geçmiş kampanyalarda kullanan Brezilya’nın siber suç ekosisteminde giderek daha yaygın hale geldiğini savunuyor; örneğin, 2024 ve 2025 yıllarını kapsayan Water Saci kampanyası gibi.

Kötü Amaçlı Yazılım, Gmail Tabanlı Komut Alma ile Çıkışları Atlatıyor

Soruşturanlar, kötü amaçlı yazılımın, güncellenmiş komutları almak için önceden ayarlanmış bir Gmail hesabını kullandığını ve geleneksel ağ kapanmalarını aşmak için (C2) sabit komuta ve kontrol sunucusuna bağlı kalmadan, bu e-posta adresine giriş yapıp en güncel talimatları kontrol ettiğini bildiriyor. E-posta erişilemediğinde ise, statik bir C2 alan adına geri dönüyor. SpiderLabs, bu yöntemi, tespiti azaltırken kalıcılığı korumanın bir yolu olarak tanımladı.

Yönlendirme Paneli Verileri, Küresel İzleri Ortaya Koyuyor

Altyapı haritalaması sırasında, analistler, ilk alan adını birden fazla tehdit aktörü paneline ev sahipliği yapan bir sunucu ile ilişkilendirdi; bunlardan biri de gelen bağlantıları izlemek için kullanılan Yönlendirme Sistemi’ydi. Kayıtlı 453 ziyaretin 451’i coğrafi kısıtlamalar nedeniyle engellendi ve sadece Brezilya ve Arjantin’e izin verildi.

Ancak, günlük veriler 38 ülkeden 454 iletişim girişimini gösterdi; bunlar arasında Amerika Birleşik Devletleri (196), Hollanda (37), Almanya (32), Birleşik Krallık (23) ve Fransa (19) bulunuyor. Sadece üç etkileşim Brezilya’dan kaynaklandı.

Panel ayrıca, bağlantıların %40’ının tanımlanamayan sistemlerden geldiğini gösteren işletim sistemi istatistikleri kaydetti; ardından Windows (25%), macOS (21%), Linux (10%) ve Android (4%) yer aldı. Araştırmacılar, verilerin çoğu etkileşimin masaüstü ortamlarından gerçekleştiğini belirtti.