Uzmanlar, WhatsApp sohbetlerinde banka bilgilerini saklayan kullanıcıların bu verileri acilen silmesi gerektiği konusunda uyardı.
Infosecurity Magazine’in aktardığı bilgilere göre saldırı, karmaşık şekilde gizlenen bir VBScript dosyasıyla başlıyor. Kullanıcı dosyayı çalıştırdığında Python tabanlı bir WhatsApp solucanı yükleniyor. Bu solucanın otomatik mesaj gönderme, rehber bilgilerini toplama ve dosya paylaşma özellikleri sayesinde zararlı yazılım hızla yayılıyor. Delphi ile geliştirilen Ethernidade Stealer’ın, sistem dili Brezilya Portekizcesi olan cihazlarda çalışacak şekilde programlandığı kaydedildi. Araştırmacılar, saldırının Brezilya merkezli olmasına rağmen küresel ölçekte risk oluşturduğunu vurguladı. Trojanın, büyük bankalar dahil olmak üzere Binance ve MercadoPago gibi popüler finans platformlarını hedef aldığı bildirildi.
GELİŞMİŞ TEKNİKLERLE İZİNİ GİZLİYOR
Uzmanlara göre söz konusu trojan, klasik bankacılık zararlılarından daha gelişmiş özelliklere sahip. Komut-kontrol (C2) sunucusunu otomatik keşfedebilmesi, WhatsApp rehberine erişebilmesi, antivirüs yazılımlarından kaçınma teknikleri ve “process hollowing” gibi yöntemler kullanması dikkat çekiyor. Tarayıcı verilerinin toplanması ise kullanıcıların hedefli saldırılara açık hale gelmesine yol açıyor.
Trustwave SpiderLabs araştırmacıları, kampanyanın Brezilya’da başlamış olmasına rağmen WhatsApp kullanan tüm masaüstü sistemlerin tehdit altında olabileceğini ifade etti. Uzmanlar, kaynağı bilinmeyen script veya MSI dosyalarının kesinlikle çalıştırılmaması gerektiğini vurguladı.
Kullanıcılara, şüpheli mesajlara tıklamama, güvenilir olmayan bağlantıları açmama ve WhatsApp üzerinden gönderilen dosyalara karşı son derece dikkatli olma çağrısı yapıldı. Uzmanlar, “tek bir tıklamanın kişisel verilerin veya birikimlerin saniyeler içinde kaybedilmesine yol açabileceğini” belirtti.
Elif SAĞLAM
