WhatsApp Üzerinden Gelen Gizli Tehlike
Microsoft güvenlik ekipleri, özellikle şubat ayının sonlarından itibaren kullanıcıları hedef alan yeni ve oldukça karmaşık bir siber saldırı kampanyasını mercek altına aldı. WhatsApp mesajları aracılığıyla dağıtılan zararlı Visual Basic Script (VBS) dosyaları, bilgisayarlara sızmak için tasarlanmış çok aşamalı bir saldırı zincirini tetikliyor.
Saldırganlar, kurbanlarını bu dosyaları çalıştırmaya ikna etmek için hangi sosyal mühendislik yöntemlerini kullandıklarını gizli tutsa da, elde edilen veriler saldırının oldukça profesyonelce kurgulandığını gösteriyor. Kullanıcıların bir anlık dikkatsizliği, sistemin derinliklerine kadar sızan bir zararlı yazılımın kapısını aralıyor.
Sistem Araçları Kendi Silahına Dönüşüyor
Siber saldırganların stratejisindeki en dikkat çekici nokta, "living-off-the-land" yani sistemin kendi kaynaklarını kullanma tekniğini benimsemeleri. Saldırganlar, Windows işletim sisteminde yer alan curl.exe ve bitsadmin.exe gibi meşru araçları yeniden adlandırarak antivirüs yazılımlarının dikkatinden kaçmayı başarıyor.
Bu zararlı yazılım, bulaştığı cihazlarda gizli klasörler oluşturarak faaliyetlerini yürütüyor. Ayrıca AWS, Tencent Cloud ve Backblaze B2 gibi güvenilir bulut hizmetlerini kullanarak, sisteme dışarıdan ek yüklemeler yapıyor ve kontrolü elinde tutmak için Microsoft Installer (MSI) paketlerini kullanıyor.
UAC Engelini Aşarak Tam Kontrol Sağlıyorlar
Sisteme giriş yapan zararlı yazılımın ana hedefi, Kullanıcı Hesabı Denetimi (UAC) mekanizmasını devre dışı bırakarak yönetici yetkileri elde etmek. Yazılım, cmd.exe üzerinde sürekli olarak yükseltilmiş yetki taleplerinde bulunuyor ve bu işlem başarıya ulaşana kadar veya süreç durdurulana kadar denemeye devam ediyor.
Başarılı bir sızma sonrasında saldırganlar, AnyDesk gibi meşru uzaktan erişim araçlarını sisteme yerleştirerek kalıcı bir erişim sağlıyor. Bu sayede hem kişisel verileri dışarı sızdırabiliyor hem de sistemin savunma mekanizmalarını tamamen etkisiz hale getirerek başka zararlı yazılımların kurulumuna olanak tanıyorlar.
Sektörel Analiz ve Gelecek Beklentisi
Bu saldırı türü, modern siber tehditlerin artık sadece virüslerden değil, güvenilir araçların manipülasyonundan oluştuğunu kanıtlıyor. Özellikle WhatsApp gibi kişisel iletişim ağlarının, kurumsal güvenlik duvarlarını aşmak için bir "truva atı" olarak kullanılması, kullanıcıların dijital okuryazarlık seviyesinin önemini artırıyor. Gelecekte, işletim sistemlerinin UAC bypass tekniklerini çok daha sıkı denetleyen biyometrik veya yapay zeka destekli güvenlik katmanlarına ihtiyaç duyacağı öngörülüyor. Güvenilir görünen bulut servislerinin ve meşru yazılım araçlarının silah haline getirilmesi, güvenlik ekiplerinin sadece dış tehditlere değil, sistemin kendi davranışsal analizine de odaklanması gerektiğini gösteriyor.