Uzmanlara göre SORVEPOTEL’in temel hedefi, kullanıcı etkileşimini taklit ederek mümkün olduğunca fazla cihaza ulaşmak.
YAZILIMIN HEDEFİ VE YAYILMA STRATEJİSİ
Trend Micro araştırmacıları Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos ve Paul John Bardon’un yaptığı incelemelere göre zararlı yazılım, oltalama (phishing) yöntemini kullanıyor. Saldırganlar, sahte makbuzlar veya sağlık belgeleri gibi görünüşte zararsız ZIP dosyaları göndererek kullanıcıları bu dosyaları açmaya yönlendiriyor. Bu dosyalar yalnızca masaüstü ortamlarında çalıştığı için hedefin kişisel kullanıcılar değil, kurumsal ağlar olduğu tahmin ediliyor.
KULLANICI GÜVENİNİ İSTİSMAR EDİYOR
SORVEPOTEL’in en tehlikeli yönlerinden biri, güven duyulan kişiler üzerinden yayılması. Saldırganlar, daha önce ele geçirilmiş bir WhatsApp hesabını kullanarak zararlı dosyayı bu kişinin kişi listesine gönderiyor. Mesajın tanıdık bir kullanıcıdan gelmesi, alıcının güvenini artırarak dosyayı açma ihtimalini yükseltiyor. Ayrıca bazı saldırılarda e-posta üzerinden de aynı ZIP dosyalarının gönderildiği tespit edildi. Bu yöntem, tehdidin yalnızca WhatsApp kullanıcılarıyla sınırlı kalmadığını gösteriyor.
ZARARLI YAZILIM SİSTEME NASIL YERLEŞİYOR?
ZIP dosyası açıldığında kullanıcıyı bir Windows kısayol dosyası (LNK) karşılıyor. Görünüşte basit bir kısayol gibi duran bu dosya, aslında bir PowerShell komut dosyasını sessizce çalıştırıyor. Komut, zararlı yükü saldırganların kontrolündeki bir sunucudan indiriyor ve bilgisayara yerleştiriyor. Ardından bu yazılım, kendisini Windows’un başlangıç klasörüne kopyalayarak her açılışta otomatik olarak devreye giriyor. Böylece sistemde kalıcılık sağlanıyor.
WHATSAPP WEB ÜZERİNDEN OTOMATİK YAYILMA
SORVEPOTEL’i diğer siber tehditlerden ayıran en önemli özellik, WhatsApp Web üzerinden kendini çoğaltabilmesi. Zararlı yazılım, bulaştığı bilgisayarda WhatsApp Web oturumunun açık olduğunu fark ettiğinde, kötü amaçlı ZIP dosyasını kullanıcının tüm kişi listesine ve grup sohbetlerine otomatik olarak gönderiyor. Bu yöntem, manuel etkileşim olmadan yayılma olanağı sağlıyor ve kısa sürede geniş bir kullanıcı kitlesine ulaşmasına yol açıyor.
UZMANLARDAN GÜVENLİK UYARILARI
Trend Micro araştırmacıları, özellikle WhatsApp veya e-posta üzerinden gelen ZIP eklerine karşı dikkatli olunması gerektiğini vurguluyor. Bilinmeyen kişilerden gelen dosyaların açılmaması, güvenilir olmayan bağlantılara tıklanmaması ve işletim sistemlerinin güncel tutulması öneriliyor. Ayrıca kurumların, ağ trafiğini izleyen ve şüpheli dosya aktivitelerini tespit edebilen güvenlik çözümlerine yönelmesi tavsiye ediliyor.
SİBER SALDIRILARDA YENİ DÖNEM
Uzmanlara göre SORVEPOTEL, sosyal mühendislik yöntemlerini ileri düzeyde kullanan yeni nesil bir tehdit türünü temsil ediyor. Kullanıcıların güven ilişkilerini hedef alan bu saldırılar, klasik virüslerden farklı olarak insan davranışlarını istismar ediyor. Bu nedenle bireysel farkındalık ve güvenlik bilincinin en az teknik koruma kadar önemli hale geldiği belirtiliyor.
