Siber g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131, d\u00fcnya genelindeki kurumsal a\u011flar\u0131 hedef alan ve ana kanal olarak WhatsApp’\u0131 kullanarak kendini \u00e7abucak \u00e7o\u011faltabilen yeni bir zararl\u0131 yaz\u0131l\u0131m tespit etti. <\/p>\n
\u0130lk olarak ge\u00e7en ay\u0131n ba\u015f\u0131nda Brezilya’daki kurumlar\u0131 hedef al\u0131rken ortaya \u00e7\u0131kan SORVEPOTEL adl\u0131 yaz\u0131l\u0131m, sosyal m\u00fchendislik ile otomatik yay\u0131l\u0131m\u0131 birle\u015ftiriyor. <\/p>\n
Yaz\u0131l\u0131m<\/a>, veri h\u0131rs\u0131zl\u0131\u011f\u0131 ya da fidye sald\u0131r\u0131s\u0131 amac\u0131 g\u00fctmek yerine, olabildi\u011fince geni\u015f bir alana yay\u0131larak operasyonel aksakl\u0131klara yol a\u00e7may\u0131 hedefliyor. <\/p>\n Trend Research taraf\u0131ndan yay\u0131mlanan\u00a0verilere<\/a> <\/strong>g\u00f6re, tespit edilen 477 vir\u00fcs<\/a> vakas\u0131n\u0131n 457’si Brezilya’da yo\u011funla\u015f\u0131yor. <\/p>\n Sald\u0131r\u0131dan en \u00e7ok etkilenenler kamu kurumlar\u0131 ve devlet hizmetleri olurken \u00fcretim, teknoloji<\/a>, e\u011fitim ve in\u015faat sekt\u00f6rlerindeki \u015firketler de hedefler aras\u0131nda yer al\u0131yor.<\/p>\n<\/div>\n SALDIRI TANIDIK B\u0130R HESAPTAN GELEN MESAJLA BA\u015eLIYOR<\/strong><\/p>\n SORVEPOTEL’in yay\u0131lma s\u00fcreci, kurban\u0131n WhatsApp \u00fczerinden bir meslekta\u015f veya arkada\u015f gibi g\u00fcvendi\u011fi bir ki\u015fiden gelen oltalama mesaj\u0131yla ba\u015fl\u0131yor.<\/p>\n Portekizce yaz\u0131lan bu mesajlarda, “baixa o zip no PC e abre” (ZIP’i indir ve a\u00e7) gibi y\u00f6nlendirmeler bulunuyor.<\/p>\n Cyber Security News portal\u0131n\u0131n\u00a0haberine<\/a> <\/strong>g\u00f6re mesajlar, “RES-20250930_112057.zip” veya “ORCAMENTO_114418.zip” gibi fatura ya da b\u00fct\u00e7e belgesi izlenimi veren adlara sahip s\u0131k\u0131\u015ft\u0131r\u0131lm\u0131\u015f dosyalar i\u00e7eriyor.<\/p>\n Baz\u0131 vakalarda e-postan\u0131n da alternatif bir bula\u015fma kanal\u0131 olarak kullan\u0131ld\u0131\u011f\u0131 belirlendi.<\/p>\n “Documento de Rafael B” veya “Extrato” gibi ba\u015fl\u0131klarla g\u00f6nderilen e-postalarda, “COMPROVANTE_20251001_094031.zip” ve “ComprovanteSantander-75319981.682657420.zip” gibi g\u00fcvenilir kurumlar\u0131 taklit eden dosya adlar\u0131na sahip ekler yer ald\u0131.<\/p>\n KISAYOL DOSYALARINA G\u0130ZLEN\u0130YOR<\/strong><\/p>\n Kullan\u0131c\u0131 zararl\u0131 ZIP ar\u015fivini a\u00e7t\u0131\u011f\u0131nda, masum bir belge gibi g\u00f6r\u00fcnen ancak asl\u0131nda bir Windows k\u0131sayol dosyas\u0131 (.LNK) olan bir tuzakla kar\u015f\u0131la\u015f\u0131yor.<\/p>\n Bu LNK dosyalar\u0131, zarars\u0131z g\u00f6r\u00fcn\u00fcmleri sayesinde antivir\u00fcs yaz\u0131l\u0131mlar\u0131n\u0131n temel taramalar\u0131ndan ka\u00e7abiliyor.<\/p>\n Dosya \u00e7al\u0131\u015ft\u0131r\u0131ld\u0131\u011f\u0131nda, arka planda gizli bir pencerede PowerShell veya komut sat\u0131r\u0131 beti\u011fi tetikleniyor. Bu betik, sald\u0131rganlar\u0131n kontrol\u00fcndeki “sorvetenopoate[.]com”, “expahnsiveuser[.]com” ve “sorvetenopotel[.]com” gibi alan adlar\u0131ndan ana zararl\u0131 y\u00fck\u00fc indiriyor.<\/p>\n \u0130ndirilen ana y\u00fck, genellikle Windows’un ba\u015flang\u0131\u00e7 klas\u00f6r\u00fcne kendini kopyalayan bir toplu komut dosyas\u0131 (.BAT) oluyor.<\/p>\n Bu sayede yaz\u0131l\u0131m<\/a>, bilgisayar her yeniden ba\u015flat\u0131ld\u0131\u011f\u0131nda otomatik olarak \u00e7al\u0131\u015farak sistemde kal\u0131c\u0131l\u0131k sa\u011fl\u0131yor.<\/p>\n Ard\u0131ndan, Base64 ile kodlanm\u0131\u015f PowerShell komutlar\u0131 arac\u0131l\u0131\u011f\u0131yla komuta-kontrol (C&C) sunucular\u0131na ba\u011flan\u0131yor. Bu sunuculardan ald\u0131\u011f\u0131 ek zararl\u0131 bile\u015fenleri do\u011frudan bellekte \u00e7al\u0131\u015ft\u0131r\u0131yor.<\/p>\n S\u00f6z konusu y\u00f6ntem, sabit diske veri yaz\u0131lmad\u0131\u011f\u0131 i\u00e7in sald\u0131r\u0131n\u0131n geride b\u0131rakt\u0131\u011f\u0131 delilleri azalt\u0131yor.<\/p>\n<\/div>\n WHATSAPP<\/a> WEB OTURUMLARINI ELE GE\u00c7\u0130R\u0130YOR<\/strong><\/p>\n SORVEPOTEL’i di\u011fer zararl\u0131 yaz\u0131l\u0131mlardan ay\u0131ran en belirgin \u00f6zellik, bula\u015ft\u0131\u011f\u0131 bilgisayardaki aktif WhatsApp web oturumlar\u0131n\u0131 taramas\u0131.<\/p>\n Do\u011frulanm\u0131\u015f bir oturum tespit etti\u011finde, ayn\u0131 zararl\u0131 ZIP dosyas\u0131n\u0131 ele ge\u00e7irdi\u011fi hesab\u0131n t\u00fcm ki\u015fi ve gruplar\u0131na otomatik olarak g\u00f6nderiyor.<\/p>\n Bu otomatik y\u00f6nlendirme mekanizmas\u0131, yaz\u0131l\u0131m\u0131n \u00fcstel bir h\u0131zla yay\u0131lmas\u0131na neden oluyor.<\/p>\n Zararl\u0131 yaz\u0131l\u0131m<\/a>, ayn\u0131 zamanda \u00e7ok say\u0131da WhatsApp hesab\u0131n\u0131n hizmet ko\u015fullar\u0131n\u0131 ihlal eden spam faaliyeti nedeniyle platform taraf\u0131ndan ask\u0131ya al\u0131nmas\u0131na neden oldu.<\/p>\n Sald\u0131rganlar, operasyonlar\u0131n\u0131n izini kaybettirmek i\u00e7in \u00e7ok katmanl\u0131 bir gizleme (obfuscation) stratejisi kullan\u0131yor.<\/p>\n Alan adlar\u0131nda Portekizcede bir t\u00fcr dondurma anlam\u0131na gelen “sorvete no pote” ifadesini taklit eden isimler tercih ediliyor.<\/p>\n Ayr\u0131ca, y\u00fcr\u00fct\u00fclen komutlar \u00e7e\u015fitli \u015fifreleme ve kodlama katmanlar\u0131yla gizleniyor. Ara\u015ft\u0131rmac\u0131lar, “cliente[.]rte[.]com[.]br” gibi ba\u015fka alan adlar\u0131n\u0131n da da\u011f\u0131t\u0131m altyap\u0131s\u0131na dahil edildi\u011fini tespit etti; bu ise sald\u0131r\u0131n\u0131n dinamik olarak evrildi\u011fini g\u00f6steriyor.<\/p>\n KORUNMA Y\u00d6NTEMLER\u0130 NELER?<\/strong><\/p>\n SORVEPOTEL sald\u0131r\u0131s\u0131, pop\u00fcler mesajla\u015fma platformlar\u0131n\u0131n k\u00f6t\u00fcye kullan\u0131larak ne kadar h\u0131zl\u0131 ve etkili bir yay\u0131lma arac\u0131 haline gelebilece\u011fini bir kez daha ortaya koydu.<\/p>\n Siber g\u00fcvenlik portal\u0131 GBHackers, kurumlar\u0131n \u00f6ncelikle g\u00fc\u00e7l\u00fc oltalama koruma sistemleri kurmas\u0131n\u0131, yetkisiz k\u0131sayol dosyalar\u0131n\u0131n \u00e7al\u0131\u015ft\u0131r\u0131lmas\u0131n\u0131 engelleyecek u\u00e7 nokta g\u00fcvenlik politikalar\u0131 uygulamas\u0131n\u0131 ve WhatsApp web gibi platformlardaki ola\u011fan d\u0131\u015f\u0131 etkinlikleri <\/a><\/strong>izlemesini \u00f6neriyor.<\/p>\n Ayr\u0131ca, \u00e7al\u0131\u015fanlara y\u00f6nelik d\u00fczenli siber g\u00fcvenlik fark\u0131ndal\u0131k e\u011fitimleri d\u00fczenlenmesi, en kritik savunma hatlar\u0131ndan biri olarak \u00f6ne \u00e7\u0131k\u0131yor.<\/p>\n Mevcut sald\u0131r\u0131 dalgas\u0131 do\u011frudan y\u0131k\u0131c\u0131 bir etki yaratmaktan \u00e7ok yay\u0131lmaya odaklansa da Brezilya’da daha \u00f6nce ya\u015fanan finansal veri h\u0131rs\u0131zl\u0131\u011f\u0131 vakalar\u0131yla benzerlikler ta\u015f\u0131mas\u0131, gelecekteki sald\u0131r\u0131lar\u0131n daha tehlikeli olabilece\u011fine i\u015faret ediyor.<\/p>\n Kullan\u0131c\u0131lar\u0131n, \u00f6zellikle tan\u0131d\u0131klar\u0131ndan gelse bile, mesajla\u015fma uygulamalar\u0131 \u00fczerinden gelen \u015f\u00fcpheli dosya eklerini a\u00e7arken son derece temkinli davranmalar\u0131 tavsiye ediliyor.<\/p>\n<\/div><\/div>\n![\"WhatsApp](\"https:\/\/cdn1.ntv.com.tr\/gorsel\/73LGlVGmpEaPrAoENk_48g.jpg?width=960&mode=crop&scale=both\")
\n Sald\u0131rganlar\u0131n \u00f6zellikle masa\u00fcst\u00fc oturumlar\u0131n\u0131 hedef almas\u0131, kurumsal a\u011flardaki etkiyi art\u0131rma amac\u0131n\u0131 ta\u015f\u0131yor.<\/span>\n<\/div>\n![\"WhatsApp](\"https:\/\/cdn1.ntv.com.tr\/gorsel\/5UhuErv9BE6s_Tr6zlcV7w.jpg?width=960&mode=crop&scale=both\")
\n \ufeffUzmanlar, bu t\u00fcr tehditlere kar\u015f\u0131 hem kurumsal hem de bireysel d\u00fczeyde tedbirler al\u0131nmas\u0131 gerekti\u011fini vurguluyor.<\/span>\n<\/div>\n