Kibertəhlükəsizlik üzrə tədqiqatçılar Braziliyada maliyyə institutlarını və kriptovalyuta ticarət platformalarını hədəf alan bank troyanını yaymaq üçün WhatsApp-dan istifadə edən qabaqcıl zərərli proqram kampaniyasını aşkar ediblər.

İlk dəfə 29 sentyabr 2025-ci ildə aşkar edilən zərərli proqram müasir təhlükəsizlik sistemlərindən yan keçməyə imkan verən çoxmərhələli çaşqınlıq üsulları ilə özünü təkrarlayan qurd kimi təsnif edilir. Artıq 400-dən çox təşkilatı və 1000-dən çox cihazı yoluxdurub.

Hücum Necə Başlar

Hücum artıq yoluxmuş kontaktdan WhatsApp Web vasitəsilə göndərilən mesajla başlayır. Mesajda yalnız kompüterdə açıla bilən məzmun kimi saxta reklam edilən zərərli ZIP faylı var və bu, istifadəçiləri onu mobil cihazlar əvəzinə Windows sistemlərində işə salmağa sövq edir. Bu sosial mühəndislik taktikası təcavüzkarlara zərərli proqram təminatının daimi quraşdırılması üçün daha uyğun mühit əldə etməyə imkan verir.

Kompleks infeksiya mexanizmi

Braziliyada Sophos tərəfindən aparılan araşdırmalar Windows təhlükəsizlik arxitekturası və PowerShell əmrləri haqqında dərin bilik nümayiş etdirən mürəkkəb yoluxma metodunu aşkar edib. İlkin icra olunan, iki mərhələli PowerShell skriptini işə salan şifrələnmiş əmri ehtiva edən sıxılmış arxiv daxilində qısa yoldur (LNK).

Mərhələ 1: C2 serverlərindən növbəti faydalı yükü endirən görünməz Explorer prosesi yaradır.

Mərhələ 2: Zərərli proqram üçün məhdudiyyətsiz işləməyi təmin etmək üçün Microsoft Defender və İstifadəçi Hesabına Nəzarət (UAC) kimi təhlükəsizlik alətlərini deaktiv edir.

İkiqat faydalı yük: Casusluqdan tam nəzarətə qədər

Təhlil göstərir ki, zərərli proqram yoluxmuş sistemdən asılı olaraq iki növ faydalı yük paylayır:

Təcavüzkarlara aktiv WhatsApp Veb seanslarını idarə etməyə və infeksiyanı daha da yaymağa imkan verən ChromeDriver ilə selen əsaslı alət.

Bank Trojan "Maverick", banklar və ya kriptovalyuta birjaları ilə əlaqələri aşkar etmək üçün brauzer fəaliyyətinə nəzarət edir, sonra məlumatları oğurlamaq və ya saxta əməliyyatları həyata keçirmək üçün əlavə .NET əsaslı zərərli proqramları yerləşdirir.

Portuqal dili əmrləri və kodun mürəkkəbliyi Braziliyanın bank sistemi haqqında ətraflı biliyə malik yüksək ixtisaslı qrup təklif edir ki, bu da çox güman ki, yaxşı maliyyələşdirilən kibercinayətkarlıq əməliyyatının bir hissəsidir.

Özünüzü necə qorumalısınız

Ekspertlər əsas kibertəhlükəsizlik tədbirlərini tövsiyə edirlər:

Əməliyyat sistemlərini güncəl saxlayın.

Etibarlı antivirus proqramından istifadə edin.

Naməlum mənbələrdən faylları yükləməkdən çəkinin.

Qanuni görünən fişinq mesajlarına qarşı diqqətli olun.

Çox faktorlu autentifikasiyanı (MFA) aktivləşdirin və həssas məlumatların müntəzəm ehtiyat nüsxələrini saxlayın.

Təcavüzkarlar WhatsApp kimi məşhur proqramlardan istifadə etməyə davam etdikcə, bu kampaniya sosial mühəndislik və qabaqcıl zərərli proqram üsullarının təhlükəli birləşməsini vurğulayır, həm istifadəçilər, həm də təşkilatlar tərəfindən daimi sayıqlıq ehtiyacını vurğulayır.

Reportyor.az





MANŞET / KARUSEL / İQTİSADİYYAT