WhatsApp vasitəsilə yayılır, məlumatları ələ keçirir

Braziliya mərkəzli "SORVEPOTEL" adlı yeni zərərli proqram "WhatsApp" üzərindən göndərilən fişinq mesajları ilə "Windows" sistemlərinə yoluxur. Sistemə bulaşan zərərli proqram istifadəçilərin məlumatlarını ələ keçirərək bank məlumatları olmaqla, bir çox digər məlumatları da qeydə alır.

Metbuat.az xəbər verir ki, kibermühafizə mütəxəssisləri korporativ şəbəkələri hədəf alan və əsas kanal kimi "WhatsApp"dan istifadə edərək sürətlə yayılma qabiliyyətinə malik olan yeni zərərli proqram aşkar ediblər. Əvvəlcə ötən ayın əvvəlində Braziliyadakı təşkilatları hədəf alan "SORVEPOTEL" adlı proqram, sosial mühəndisliyi avtomatik yayılma ilə birləşdirir.

"Trend Research" tərəfindən yayımlanan məlumatlara görə, aşkar edilən 477 virus hadisəsinin 457-si Braziliyada cəmləşib. Hücumdan ən çox zərər çəkənlər dövlət qurumları və xidmətləri olsa da, istehsalat, texnologiya, təhsil və tikinti sektorundakı şirkətlər də hədəflər arasındadır.

"SORVEPOTEL" necə yayılır?

"SORVEPOTEL"in yayılma prosesi qurbanın "WhatsApp" üzərindən iş yoldaşından və ya dostundan gələn etibarlı şəxs qiyafəsində fişinq mesajı ilə başlayır. Portuqal dilində yazılan bu mesajlarda "ZIP-i endir və aç" kimi yönləndirmələr olur.

"Cyber Security News" portalının xəbərinə görə, mesajlarda faktura və ya büdcə sənədi təəssüratı yaradan adlara malik sıxılmış fayllar (".zip") olur. Bəzi hallarda e-poçtun da alternativ yayılma kanalı kimi istifadə edildiyi müəyyən edilib.

İstifadəçi zərərli "ZIP" arxivini açdıqda, günahsız bir sənəd kimi görünən, lakin əslində "Windows" qısa yol faylı (".LNK") olan tələ ilə qarşılaşır. Bu "LNK" faylları zərərsiz göründükləri üçün antivirus proqramlarının əsas yoxlamalarından qaça bilirlər. Fayl işə salındıqda, fon rejimində gizli pəncərədə "PowerShell" və ya əmr sətri skripti aktivləşdirilir. Bu skript hücum edənlərin nəzarətində olan müxtəlif domen adlarından əsas zərərli yükü endirir.

Endirilən əsas yük, adətən "Windows"un başlanğıc qovluğuna özünü köçürən toplu əmr skripti (".BAT") olur. Bu sayədə proqram hər dəfə kompüter yenidən işə salındıqda avtomatik işləyərək sistemdə daimi qalır.

"WhatsApp Web" sessiyalarını ələ keçirir

"SORVEPOTEL"i digər zərərli proqramlardan fərqləndirən ən əsas xüsusiyyət, yoluxduğu kompüterdəki aktiv "WhatsApp Web" sessiyalarını skan etməsidir. Təsdiqlənmiş bir sessiya aşkar etdikdə, eyni zərərli "ZIP" faylını ələ keçirdiyi hesabın bütün kontaktlarına və qruplarına avtomatik olaraq göndərir. Bu avtomatik yönləndirmə mexanizmi, proqramın sürətlə yayılmasına səbəb olur.

Hücum edənlər əməliyyatlarının izinə itirmək üçün çoxqatlı gizlətmə (obfuscation) strategiyasından istifadə edirlər. İcra edilən əmrlər müxtəlif şifrələmə və kodlama qatları ilə gizlədilir.

Müdafiə üsulları

"SORVEPOTEL" hücumu, məşhur mesajlaşma platformalarının sui-istifadə edilərək nə qədər sürətli və effektiv bir yayılma vasitəsinə çevrilə biləcəyini bir daha ortaya qoyub.

"GBHackers" kibermühafizə portalı, təşkilatlara güclü fişinq mühafizə sistemləri qurmağı, icazəsiz qısa yol fayllarının işə salınmasını əngəlləyəcək təhlükəsizlik siyasətləri tətbiq etməyi və "WhatsApp Web" kimi platformalarda qeyri-adi fəaliyyətləri izləməyi tövsiyə edir. Həmçinin, işçilər üçün mütəmadi kibermühafizə məlumatlandırma təlimlərinin keçirilməsi ən kritik müdafiə xətlərindən biri hesab olunur. İstifadəçilərin, xüsusilə tanışlarından gəlsə belə, mesajlaşma tətbiqləri vasitəsilə gələn şübhəli fayl əlavələrini açarkən son dərəcə ehtiyatlı olmaları məsləhət görülür.