Zararlı Yazılım SORVEPOTEL, WhatsApp Üzerinden Kurumsal Ağları Hedef Alıyor

Zararlı Yazılım SORVEPOTEL, WhatsApp Üzerinden Kurumsal Ağları Hedef Alıyor

Brezilya merkezli SORVEPOTEL adlı yeni bir zararlı yazılım, WhatsApp üstünden gönderilen oltalama mesajlarıyla Windows sistemlerine bulaşıyor. Sisteme bulaşan zararlı yazılım kullananların bilgilerini ele geçirerek banka bilgileri başta olmak üzere diğer birçok bilgiyi kaydediyor.

Siber güvenlik araştırmacıları, dünya genelindeki kurumsal ağları hedef alan ve yayılma kanalı olarak WhatsApp’ı kullanan yeni bir zararlı yazılım olan SORVEPOTEL’i tespit etti. Geçen ay Brezilya kurumlarını hedef alarak ortaya çıkan bu yazılım, sosyal mühendislik taktikleri ile otomatik yayılımı birleştiriyor ve asıl amacının veri hırsızlığı yerine geniş bir alana yayılarak operasyonel aksaklıklara yol açmak olduğu belirtiliyor.

Trend Research verilerine göre, tespit edilen 477 vakanın 457’si Brezilya'da yoğunlaştı. Saldırıdan en çok etkilenenler kamu ve devlet hizmetleri olurken, üretim, teknoloji, eğitim ve inşaat sektörlerindeki şirketler de hedefler arasında yer alıyor.

SALDIRI NASIL BAŞLIYOR VE YAYILIYOR?

SORVEPOTEL’in yayılma süreci, kurbanın bir meslektaş veya dost gibi güvendiği bir kişiden WhatsApp üzerinden aldığı bir oltalama (phishing) mesajıyla başlıyor. Çoğunlukla Portekizce yazılan bu mesajlarda, kullanıcıyı ZIP dosyasını indirip açmaya yönlendiren ("baixa o zip no PC e abre") ifadeler bulunuyor.

Cyber Security News portalının aktardığına göre, mesajlar fatura veya bütçe belgesi izlenimi veren ("RES-20250930_112057.zip" gibi) adlara sahip sıkıştırılmış dosyalar içeriyor. Bazı durumlarda e-posta da alternatif bir bulaşma kanalı olarak kullanılıyor; bu e-postalarda ise "ComprovanteSantander-75319981.682657420.zip" gibi güvenilir kurumları taklit eden dosya adları bulunuyor.

GIZLENEN YÜK VE KALICILIK MEKANIZMASI

Kullanıcı, zararlı ZIP arşivini açtığında, masum bir belge gibi görünen, ancak aslında bir Windows kısayol dosyası (.LNK) olan bir tuzakla karşılaşıyor. Bu LNK dosyaları, zararsız görünümleri sayesinde antivirüs yazılımlarının temel taramalarından kaçabiliyor.

Kısayol dosyası çalıştırıldığında, arka planda gizli bir pencerede PowerShell veya komut satırı betiği tetikleniyor. Bu betik, saldırganların kontrolündeki alan adlarından (örneğin, "sorvetenopotel[.]com") ana zararlı yükü indiriyor. İndirilen yük, genellikle Windows'un başlangıç klasörüne kendini kopyalayan bir toplu komut dosyası (.BAT) oluyor. Bu sayede yazılım, bilgisayar her yeniden başlatıldığında otomatik olarak çalışarak sistemde kalıcılık sağlıyor. Ardından Base64 ile kodlanmış PowerShell komutları aracılığıyla komuta-kontrol (C&C) sunucularına bağlanarak ek zararlı bileşenleri doğrudan bellekte çalıştırıyor. Bu yöntem, sabit diske veri yazılmadığı için saldırının geride bıraktığı izleri azaltıyor.

WHATSAPP WEB ÜZERINDEN ÜSTEL YAYILIM

SORVEPOTEL'i ayıran en önemli özellik, bulaştığı bilgisayardaki aktif WhatsApp web oturumlarını taramasıdır. Doğrulanmış bir oturum tespit ettiğinde, zararlı ZIP dosyasını ele geçirdiği hesabın tüm kişi ve gruplarına otomatik olarak gönderiyor. Bu otomatik yönlendirme mekanizması, yazılımın üstel bir hızla yayılmasına neden oluyor ve çok sayıda WhatsApp hesabının hizmet koşullarını ihlal eden spam faaliyeti nedeniyle askıya alınmasına yol açıyor. Saldırganlar izlerini kaybettirmek için şifreleme ve kodlama katmanları (obfuscation) kullanıyor ve Portekizcede bir tür dondurma anlamına gelen "sorvete no pote" ifadesini taklit eden alan adlarını tercih ediyor.

KURUMLAR VE KULLANICILAR İÇIN KORUNMA YÖNTEMLERI

Siber güvenlik uzmanları, bu tür saldırılara karşı korunmak için öncelikle kuvvetli oltalama koruma sistemleri kurulmasını, yetkisiz kısayol dosyalarının çalıştırılmasını engelleyecek uç nokta güvenlik politikaları uygulanmasını ve WhatsApp web gibi platformlardaki olağan dışı etkinliklerin izlenmesini öneriyor.

En kritik savunma hatlarından biri olarak, çalışanlara yönelik düzenli siber güvenlik farkındalık eğitimlerinin düzenlenmesi gerekiyor. Kullanıcıların, özellikle tanıdıklarından gelse bile, mesajlaşma uygulamaları üzerinden gelen şüpheli dosya eklerini açarken son derece temkinli olmaları tavsiye ediliyor. Uzmanlar, bu saldırı dalgasının yayılmaya odaklansa da, gelecekte daha tehlikeli finansal veri hırsızlığı vakalarına dönüşebileceği uyarısında bulunuyor.

"Zararlı Yazılım SORVEPOTEL, WhatsApp Üzerinden Kurumsal Ağları Hedef Alıyor" haberi, 06 Ekim 2025 tarihinde yazılmıştır. 06 Ekim 2025 tarihinde de güncellenmiştir.

YORUM YAZ

UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.