Son analizler, dünya genelinde WhatsApp Desktop ve WhatsApp Web kullanıcılarını hedef alan yeni bir VBScript tabanlı saldırı kampanyasının varlığını ortaya koydu. En fazla etkilenen ülke Malezya olurken, Brezilya, Hindistan, Meksika, Singapur, İngiltere, İspanya, Tayvan, Avustralya, Rusya ve Vietnam gibi ülkelerde de izler tespit edildi.
Saldırının İşleyişi ve Teknik Ayrıntılar
Saldırganlar, kurbanları ikna etmek için sahte iş ve finans belgeleri adı altında VBS uzantılı dosyalar gönderiyor. “Financial Reports.vbs” veya “Account Statement.vbs” gibi isimler taşıyan bu dosyalar, bazen Portekizce, Fransızca, Almanca ve Malayca adlandırmalarla da görülüyor. Dosyalar çok katmanlı bir enfeksiyon zincirinin ilk halkasını oluşturuyor; VBScript çalıştırıldığında, ManageEngine Remote Monitoring and Management (RMM) yazılımının kurulumu için gerekli diğer bileşenler indiriliyor. Bu sayede saldırganların hedef sistemlere uzaktan erişim sağlaması mümkün hale geliyor.
Kampanyanın dikkat çeken yönlerinden biri, saldırganların bazı WhatsApp hesaplarına gizlice erişim sağladığı ve bu hesapları kötü amaçlı dosyaların dağıtımı için kullandığı yönünde. Ancak hesapların nasıl ele geçirildiği henüz netleşmedi. VBScript dosyaları “WScript.exe” üzerinden çalıştırılıyor ve sonraki aşamalar için ek betikler indiriliyor. WhatsApp Web ve WhatsApp Desktop uygulamasında saldırının işleyiş biçimi farklılık gösteriyor. Web sürümünde, kullanıcı dosyayı indirdikten sonra açıyor; masaüstü uygulamasında ise zararlı kod doğrudan uygulama içinden yürütülüyor.
Yasal Yazılımlar Aracılığıyla Gizlenen Tehlike
İlginç olan, kullanılan VBScript’in Microsoft Windows Update bileşenlerini taklit eden kapsamlı yorumlar ve meta veriler içermesi. Bu, zararlının meşru bir güncelleme dosyası gibi görünmesini sağlıyor. İlk VBScript, iki ayrı ikincil betik indiriyor: Biri Windows Kullanıcı Hesabı Denetimi (UAC) ayarlarını değiştirmeye çalışırken, diğeri ManageEngine RMM Central kurulum paketini içeren bir ZIP dosyasını indirip çalıştırıyor. Rusya merkezli siber güvenlik firması, bu kampanyanın altyapısının daha önce Gh0st RAT ve ValleyRAT faaliyetlerinde kullanılan IP adresleriyle örtüştüğünü belirtti.
Sosyal Mühendislik ve Riskler
WhatsApp kullanıcılarının, tanıdıklarından bile gelse beklenmedik ekleri açarken çok dikkatli olması gerekiyor. VBS, EXE, BAT, CMD, JS ve PS1 gibi çalıştırılabilir dosyaların kaynağı doğrulanmadan açılması ciddi tehlikelere yol açabilir. Bu tür saldırılar, sadece bireysel kullanıcıları değil, kurumsal ortamları da hedef alabilir; zira ManageEngine RMM, ağ yönetimi ve izleme amaçlı yaygın kullanılan bir araçtır.
Güvenlik Uzmanlarına Öneriler
Kurumsal ağlarda bu tür saldırılara karşı alınacak önlemler arasında, e-posta ve anlık mesajlaşma platformlarında gelen dosyaların mutlaka sandbox ortamında test edilmesi yer almalı. Endpoint Detection and Response (EDR) sistemlerinin VBScript ve benzeri script tabanlı saldırıları tespit edecek şekilde yapılandırılması kritik. Ayrıca ağ segmentasyonu ile yönetici uygulamalarının ve kritik sistemlerin izole edilmesi, UAC gibi Windows güvenlik mekanizmalarının varsayılan ayarlarda tutulması riskleri azaltır. SIEM sistemlerinde WhatsApp Desktop ve Web gibi uygulamalardan gelen dosya transferlerine ilişkin logların dikkatle izlenmesi, olay müdahalesi süreçlerini hızlandırır.
Teknik Özet
- Kullanılan araçlar: VBScript, ManageEngine RMM Central
- Hedef ülkeler: Malezya, Brezilya, Hindistan, Meksika, Singapur, İngiltere, İspanya, Tayvan, Avustralya, Rusya, Vietnam
- Saldırı zinciri: Sosyal mühendislik yoluyla sahte belge indirtme → VBScript ile çok aşamalı enfeksiyon → UAC atlatma → ManageEngine RMM kurulumu
- Riskler: Uzaktan erişim elde edilmesi, kurumsal ağlarda yönetim araçlarının kötüye kullanımı
- Önerilen savunma: Dosya kaynağı doğrulaması, EDR ve SIEM entegrasyonu, ağ segmentasyonu, UAC sıkılaştırması