Siber suçluların son dönemde başvurduğu yeni yöntemlerden biri, WhatsApp üzerinden Windows bilgisayarlara zararlı yazılım bulaştırmak oldu. Özellikle Windows 11 işletim sistemi kullanan ve WhatsApp’ın masaüstü sürümünü tercih eden kullanıcılar hedef alınıyor. Bu platformda dosyaların doğrudan çalıştırılabilmesi, saldırganlar için önemli bir açık kapı oluşturuyor.
Saldırganlar, ilk aşamada kullanıcıya masum görünen dosyalar gönderiyor. Ancak bu ekler aslında zararlı Visual Basic komut dosyaları içeriyor. Kullanıcı dosyayı açtığında, arka planda çok aşamalı bir enfeksiyon süreci başlatılıyor.
Gizli klasörler ve sahte sistem dosyaları
Microsoft Defender Güvenlik Ekibi’nin aktardığına göre, zararlı komut dosyası çalıştırıldığında ilk olarak “C:\ProgramData” dizininde gizli klasörler oluşturuluyor. Ardından bu klasörlere, sistem dosyası izlenimi veren değiştirilmiş programlar yerleştiriliyor. “netapi.dll” ya da “sc.exe” gibi isimler kullanılarak bu dosyaların fark edilmemesi amaçlanıyor.
Saldırının ikinci aşamasında, bu sahte programlar Amazon Web Services ve Tencent Cloud gibi bulut servislerinden ek zararlı bileşenler indiriyor. Microsoft’a göre bu yöntemle veri trafiği normal bir işlem gibi gösteriliyor ve güvenlik sistemlerinin dikkatinden kaçılması hedefleniyor.
Güvenlik ayarları devre dışı bırakılıyor
Zararlı yazılım sistemde ilerledikçe kritik güvenlik önlemlerini devre dışı bırakıyor. Kullanıcı Hesabı Denetimi kapatılarak uyarı mekanizmaları etkisiz hale getiriliyor. Ardından cmd.exe üzerinden yönetici yetkileri elde ediliyor. Bununla birlikte, sistem kayıt defterine eklenen girdiler sayesinde zararlı yazılımın kalıcı olması sağlanıyor.
Son aşamada ise imzasız kurulum dosyaları indiriliyor. Setup.msi, WinRAR.msi, LinkPoint.msi ve AnyDesk.msi gibi dosyalar üzerinden uzaktan erişim araçları sisteme yükleniyor. Bu sayede saldırganlar cihaz üzerinde uzun süreli kontrol elde edebiliyor; veri sızdırma ya da yeni zararlı yazılımlar yükleme gibi işlemleri gerçekleştirebiliyor.
Kullanıcılar ve şirketler için uyarı
Microsoft, bu tür saldırılara karşı özellikle komut dosyası çalıştırma altyapılarının engellenmesini ve ağ trafiğinin yakından izlenmesini öneriyor. Şirketlerin ise çalışanlarını bilinçlendirmesi gerektiği vurgulanıyor. Çünkü bu saldırı yönteminde sosyal mühendislik teknikleri önemli rol oynuyor. Tanınmayan kişilerden gelen mesaj ve dosyalara karşı dikkatli olunması gerektiği ifade ediliyor.