WhatsApp’ta Gizlenen “Maverick” Tuzağı: ZIP’teki .LNK’e Tıklayanların Hesapları Hemen Ele Geçiriliyor — Siz de Hemen Kontrol Edin!

Kaspersky, Trend Micro, Sophos ve diğer güvenlik ekiplerinin ortak analizleri, WhatsApp üzerinden gönderilen ZIP arşivleri içindeki kötü amaçlı .LNK dosyalarının tıklanmasıyla başlatılan yeni bir kampanyayı ortaya çıkardı; tehdit aktörleri tarafından “Maverick” olarak isimlendirilen trojan, kurulduğunda kapsamlı veri toplama ve uzaktan kontrol yetenekleri sergiliyor.

İlk Bulaşma ve Zincir
Kampanya, kurbana WhatsApp mesajı ile ulaştırılan ZIP dosyası içindeki LNK dosyasının çalıştırılmasıyla başlıyor; LNK aracılığıyla cmd/PowerShell komutları bellek içinde yürütülüyor, Donut ile paketlenmiş shellcode ve gömülü .NET yürütülebilirleri C2’den indirilerek diske minimum yazma ile işleniyor. Araştırmacılar, bu akışın tamamen fileless olacak şekilde tasarlandığını belirtti.

Teknik Özellikler ve Hedefleme
Maverick, indirme isteklerinde özel User-Agent ve HMAC tabanlı bir “API Key” doğrulaması uygulayarak doğrudan C2 dışında normal indirme araçlarının başarısız olmasını sağlıyor. İndirme ve decrypt süreçlerinde XOR/anahtar sonek boyutu yöntemi, .NET yükleyicinin ise kontrol akışını düzleştirme (control-flow flattening) ve dolaylı çağrılarla obfuscation uyguladığı rapor edildi. Yazılım kurbanın zaman dilimi, dil, bölge ve tarih formatını kontrol ederek çoğunlukla Brezilya’da çalışan modülleri aktif hale getiriyor.

Otomatik Yayılma Mekanizması
Maverick’in en zararlı özelliklerinden biri, ele geçirilen WhatsApp oturumlarını WPPConnect ve Selenium kullanarak otomatik mesaj gönderme ve ZIP/.LNK dosyalarını hızla yayma yeteneği; bu durum tek bir ele geçirilmiş hesap üzerinden büyük ölçekli yayılım riskini doğuruyor. Araştırmacılar ilk 10 gün içinde sadece Brezilya’da 62 binin üzerinde engellenmiş deneme tespit ettiklerini bildirdi.

Bankacılık Fonksiyonları ve Agent Yetkinlikleri
Ana banker modülü (Maverick Agent) tarayıcıları izleyerek 26 Brezilya bankası, 6 kripto borsası ve 1 ödeme platformunu hedef alıyor; ekran görüntüsü alma, keylogger, pencere/işlem kontrolü, phishing üstü pencereler oluşturma ve oturum bilgilerini sızdırma gibi işlevleri bulunuyor. İletişim SSL tünelli WatsonTCP ile sağlanıyor; araştırmacılar C2 host örnekleri ve API yolları tespit etti.

Tespit Sinyalleri (Yüksek Seviye IoC Örnekleri)
Araştırmacılar uyarı amaçlı şu tespit sinyallerini paylaştı: ZIP içinden çıkan veya çalıştırılan .lnk dosyaları, PowerShell tarafından başlatılan şifrelenmiş/encoded script yürütmeleri, kısa sürede çok sayıda kişiye/ gruba otomatik mesaj gönderen WhatsApp Web oturumları ve Kaspersky/Trend Micro/Sophos gibi ürünlerde görülen EDR/AV uyarıları. Ayrıca analizlerde geçen bazı C2/URL örnekleri: sorvetenopote.com (api/v1/...), casadecampoamazonas.com. (Bu liste ayrıntılı IoC’ler içermeyen örnek amaçlıdır; SOC ekipleri özgün raporlardaki IoC listelerini kullanmalıdır.)

Savunma ve Öneriler
Araştırmacılar bireylere bilinmeyen ZIP ve .LNK eklerini açmamalarını, WhatsApp bağlı cihazlarını düzenli kontrol etmelerini ve tanımadıkları bağlantıları kaldırmalarını tavsiye etti. Kurumlara ise PowerShell izleme, EDR davranış analizleri, şüpheli ağ trafiği ve anormal WhatsApp Web aktivitelerinin takibi, IoC’lerin güncel kaynaklardan çekilip bloklanması ve etkilenen makinelerin izole edilerek IR süreçlerinin başlatılması önerildi. Yasal yükümlülükler çerçevesinde finans kuruluşlarının ve etkilenen kullanıcıların ilgili bildirimleri yapması gerektiği hatırlatıldı.

Kaynak ve Analiz Notu
Kaspersky (SecureList), Trend Micro, Sophos, Broadcom, BlueVoyant ve bağımsız güvenlik araştırma gruplarının raporları üzerinde yapılan analizler, Maverick’in Coyote benzeri kod örtüşmeleri içerdiğini; ancak mimari ve dağıtım zincirinin yeni ve modüler olduğunu gösteriyor. Teknik raporlar, IoC listeleri ve örnek yakalama verileri ilgili laboratuvar bültenlerinde yer alıyor; haber metninde saldırı kodları veya eylemsel komutlar paylaşılmadı.

Kaynak: Beykozun Sesi

Ajans Expres Gazetesi