Geniş Ölçekli Spam Kampanyasının Teknik Detayları
Tedarik zinciri güvenliği alanında faaliyet gösteren Socket’in raporuna göre, 131 farklı Chrome uzantısı, ortak bir kod tabanı ve altyapı kullanarak WhatsApp Web üzerinde gelişmiş spam otomasyonları gerçekleştiriyor. Bu uzantıların toplamda yaklaşık 20.905 aktif kullanıcısı bulunuyor. Güvenlik araştırmacısı Kirill Boychenko, bu uzantıların klasik kötü amaçlı yazılımlar olmadığını, ancak WhatsApp platformunun kurallarını aşarak yüksek riskli spam faaliyetleri yürüttüğünü belirtiyor. Kod, MCP istemcisi benzeri yapılarla doğrudan WhatsApp Web sayfasına enjekte edilerek, platformun anti-spam önlemlerini aşacak şekilde zamanlanmış toplu mesajlaşma sağlıyor.
Franchise Modeli ve Beyaz Etiket Programı
Çoğunluğu “WL Extensão” ve varyantı “WLExtensao” tarafından yayımlanan bu uzantılar, DBX Tecnologia adlı bir şirket tarafından franchise modeliyle Chrome Web Mağazası’na yükleniyor. Şirket, potansiyel iş ortaklarına kendi markaları altında WhatsApp Web uzantısını yeniden markalama ve satma imkanı sunan bir bayi beyaz etiket programı da işletiyor. Bu program, 12.000 Brezilya Reali yatırım karşılığında 30.000 ila 84.000 Brezilya Reali arasında düzenli gelir vaat ediyor. Uzantılar, WhatsApp Web üzerinde CRM araçları ve otomatik mesajlaşma özellikleri sunarak kullanıcıların satışlarını artırmayı hedefliyor.
Spam ve Anti-Algoritma Aşımı Teknikleri
Bu uzantılar, AsyncRAT benzeri otomasyon teknikleriyle WhatsApp’ın anti-spam algoritmalarını aşmak için tasarlanmış. DBX Tecnologia’nın YouTube’da paylaştığı videolar, kullanıcıların bu algoritmaları nasıl atlatabileceğine dair rehberlik sağlıyor. Ayrıca, konteyner tabanlı dağıtımlarda rastgele SSH portları kullanılarak izlerin gizlenmesi ve saldırıların tespiti zorlaştırılıyor. Bu yöntemler, WhatsApp Web’in mesaj gönderme hız sınırlarını aşarak, kullanıcı onayı olmadan toplu mesaj gönderimini mümkün kılıyor. Bu faaliyetler en az dokuz aydır devam ediyor ve 17 Ekim 2025 tarihine kadar güncellemeler gözlemlendi.
Politika İhlalleri ve Güvenlik Riskleri
Google Chrome Web Mağazası’nın Spam ve Kötüye Kullanım politikaları, aynı işlevselliğe sahip birden fazla uzantının platformda bulunmasını yasaklıyor. Ancak DBX Tecnologia’nın operasyonu bu kuralları ihlal ediyor. Bu durum, Trend Micro, Sophos ve Kaspersky gibi güvenlik firmalarının Brezilya’da Maverick adlı banka truva atını dağıtmak için kullanılan SORVEPOTEL adlı WhatsApp solucanını içeren büyük çaplı kampanyaları ortaya çıkarmasıyla paralellik gösteriyor. Uzantılar, kullanıcıların WhatsApp Web üzerinden spam ve kötü amaçlı faaliyetlere maruz kalma riskini artırıyor.