WhatsApp Hesap Ele Geçirmeleri ve React2Shell Açığıyla Genişleyen Siber Tehditler

Anasayfa » WhatsApp Hesap Ele Geçirmeleri ve React2Shell Açığıyla Genişleyen Siber Tehditler
APT, Fidye Yazılımı, Zafiyetler
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
WhatsApp Hesap Ele Geçirmeleri ve React2Shell Açığıyla Genişleyen Siber Tehditler

Uluslararası Dolandırıcılık Çetesi Çökertildi

Avrupa genelinde 400’den fazla mağduru 10 milyon Euro’dan fazla dolandıran organize suç ağı, Çekya, Letonya, Litvanya ve Ukrayna yetkililerinin iş birliğiyle 9 Aralık 2025’te 12 şüphelinin tutuklanmasıyla çökertildi. Suç grubu, polis memuru taklidi yaparak ve uzaktan erişim yazılımları aracılığıyla banka hesaplarına erişim sağlayarak mağdurlardan büyük miktarda para topladı. Yaklaşık 100 kişilik çağrı merkezi çalışanları farklı dolandırıcılık rollerini üstlendi ve gelirlerin %7’sine kadar pay aldı.

WhatsApp Hesap Ele Geçirme Yöntemleri

GhostPairing adlı yeni sosyal mühendislik saldırısı, WhatsApp hesaplarını hedef alıyor. Saldırganlar, Facebook önizlemesini taklit eden sahte sayfalara yönlendirdikleri kullanıcıların QR kodlarını taramalarını isteyerek WhatsApp Web bağlantısını ele geçiriyor. Bu yöntem, platformun resmi cihaz eşleştirme mekanizmasını kötüye kullanıyor ve Rus devlet destekli aktörlerin benzer teknikleri Signal hesaplarını ele geçirmek için kullandığı biliniyor. Kullanıcıların WhatsApp Ayarlar > Bağlı Cihazlar bölümünü düzenli kontrol etmeleri öneriliyor.

React2Shell Açığı Fidye Yazılımı Operasyonlarında

CVE-2025-55182 olarak izlenen React2Shell açığı, 5 Aralık 2025’te Weaxor fidye yazılımı saldırısında ilk erişim vektörü olarak kullanıldı. S-RM firmasının analizine göre, bu zafiyet birçok tehdit aktörü tarafından farklı kötü amaçlı yazılımların dağıtımı için istismar ediliyor. Palo Alto Networks Unit 42, 60’tan fazla kuruluşun bu açığı kullanan saldırılardan etkilendiğini bildirirken, Microsoft da yüzlerce makinenin ele geçirildiğini açıkladı. Bu durum, fidye yazılımı saldırılarında otomasyonun artmasına işaret ediyor.

Modüler Bilgi Hırsızı SantaStealer

Rusça konuşan tehdit aktörleri tarafından Telegram ve yeraltı forumlarında reklamı yapılan SantaStealer, 14 farklı modülden oluşan modüler bir bilgi hırsızı. Bellekte çalışan kötü amaçlı yazılım, kimlik bilgileri, cüzdanlar ve hassas belgeleri topluyor. Chrome şifreleme korumalarını aşmak için gömülü DLL kullanıyor. Temmuz 2025’ten beri aktif olan SantaStealer, aylık 175 ila 300 dolar arasında değişen fiyatlarla kiralanabiliyor.

MCP Sunucularındaki Yetkisiz Erişim Riski

Bitsight’in araştırmasına göre, yaklaşık 1.000 Model Context Protocol (MCP) sunucusu internette yetkisiz erişime açık ve hassas veriler sızdırıyor. Bu sunucular Kubernetes yönetimi, CRM erişimi, WhatsApp mesaj gönderme ve uzaktan kod yürütme gibi kritik işlevlere sahip. MCP protokolünün yetkilendirme mekanizmasının isteğe bağlı olması, demo ortamından üretime geçerken güvenlik açıklarına yol açıyor. Bu durum, bulut güvenliği ve ağ segmentasyonu açısından önemli riskler barındırıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • WhatsApp ve benzeri uygulamalarda bağlı cihazlar düzenli kontrol edilmeli ve şüpheli bağlantılar anında kaldırılmalı.
  • React2Shell (CVE-2025-55182) açığı için ilgili yamalar hızlıca uygulanmalı ve EDR çözümleriyle anormal davranışlar izlenmeli.
  • SantaStealer gibi modüler zararlılara karşı bellek tabanlı tespit ve ağ trafiği analizi yapılmalı.
  • MCP sunucularında yetkilendirme zorunlu hale getirilmeli ve gereksiz servisler kapatılmalı.
  • Phishing saldırılarına karşı e-posta güvenliği çözümleri güçlendirilmeli ve kullanıcı farkındalığı artırılmalı.
  • Olay müdahale süreçleri (incident response) güncellenerek, saldırı zincirindeki erken aşamalar hızlıca tespit edilmeli.
  • Bulut ortamlarında erişim kontrolleri ve IAM politikaları sıkılaştırılmalı, ağ segmentasyonu uygulanmalı.
  • Fidye yazılımı saldırılarına karşı düzenli yedekleme ve saldırı simülasyonları yapılmalı.

Saldırı Zinciri ve Teknik Detaylar

GhostPairing saldırısı sosyal mühendislik temelli olup, QR kodu ile WhatsApp Web bağlantısını ele geçiriyor. React2Shell açığı ise uzaktan kod yürütme imkanı sunuyor ve fidye yazılımları tarafından ilk erişim vektörü olarak kullanılıyor. SantaStealer, çok modüllü yapısıyla çeşitli veri türlerini hedef alırken, MCP sunucularındaki yetkisiz erişimler kritik altyapı yönetiminde risk oluşturuyor. Bu saldırılar, phishing, uzaktan kod yürütme, bellek içi zararlı çalıştırma ve C2 iletişimi gibi MITRE ATT&CK tekniklerini içeriyor.

, , , , , , ,