İyi bilinen, tehlikeli bir bankacılık zararlısı olan Astaroth, WhatsApp aracılığıyla insanların hayatlarına sızmanın yeni bir yolunu buldu. Bu bulgular, Acronis Tehdit Araştırma Birimi (TRU) tarafından yapıldı ve resmi rapor 8 Ocak 2026 Perşembe günü yayınlandı.
Acronis, zararlının dijital bir solucan gibi davrandığı ve otomatik olarak bir kişinin rehberinden diğerine yayıldığı yeni bir kampanya olan Boto Cor-de-Rosa'yı tanımladı. Bu kampanya esas olarak Brezilyalıları hedef alıyor.
Baş araştırmacılar Jozsef Gegeny ve Jonathan Micael, Hackread.com ile paylaşılan blog yazısında, operatörlerinin genellikle e-posta kullandığını, ancak bu yeni taktiğin sohbet uygulamalarına duyduğumuz güveni istismar ettiğini belirtti.
Zararlının Sızma Yöntemi
Herhangi bir kullanıcı için, WhatsApp'tan bir arkadaşından dosya almak, rastgele bir e-postayı açmaktan çok daha güvenli hissettirir. İşte hackerların tam olarak buna güveniyor. Saldırı, genellikle 552_516107-a9af16a8-552.zip gibi kafa karıştırıcı bir dizi rakamla adlandırılmış bir ZIP arşivi içeren bir mesajla başlar.
Eğer bir kurban bu klasörü açarsa, gizli bir betik bir zincirleme reaksiyonu tetikler. Daha fazla araştırma, zararlının ana dosyalarını bilgisayarda çok belirli bir yere gizlediğini ortaya çıkardı: C:\Public\MicrosoftEdgeCache_6.60.2.9313.
Yerleştikten sonra, aynı anda iki farklı modül çalıştırır:
- Bankacılık Modülü: Bu sessiz kalır ve bankaya giriş yaptığınızda sizi izler.
- WhatsApp Yayılma Modülü: Bu, Python dilinde yazılmış yeni bir kod parçasıdır (adlı dosya
zapbiu.py) ve sizin rehberinizi çalarak virüsün kopyalarını tanıdıklarınıza göndermeye başlar.
Nazik Mesajlar ve İlerleme Takibi
Hackerların mesajlara şaşırtıcı derecede insani bir dokunuş eklediğini belirtmek gerekir. Yazılım, bilgisayarınızdaki zamanı kontrol ederek doğru selamı Portekizce olarak göndermektedir. Mesajı ne zaman gönderdiğine bağlı olarak, Bom dia (Günaydın), Boa tarde (İyi öğleden sonra) veya Boa noite (İyi akşamlar) ile başlar.
Mesaj genellikle şöyle der: İşte istediğiniz dosya. Herhangi bir sorunuz varsa, ben buradayım! Bu, gerçek bir konuşmanın takibi gibi görünmesini sağlar. Araştırmacılar, zararlının kendi başarı oranını takip ettiğini ve her 50 mesajda bir ne kadar kişiye ulaştığını görmek için bir ilerleme raporu yazdırdığını belirtmektedir.
Sürekli Evrim
Astaroth, güvenlik uzmanları için uzun zamandır bir baş ağrısı olan Delphi tabanlı bir virüstür. Bilginiz olsun, Hackread.com'un bu zararlının numaralarını daha önce bildirdiği ilk kez değil. Şubat 2025'te, iki faktörlü kimlik doğrulamasını atlayabilen bir Astaroth versiyonu bulundu ve Gmail ile Microsoft giriş bilgilerini çalmaya çalıştı.
Daha sonra, Ekim 2025'te GitHub'ı kötüye kullanarak yedek dosyalarını görüntülerin içine gizlediği bulundu. Bu, hackerların her zaman yeni saklanma yerleri aradığını ve WhatsApp'ın sadece en son hedefleri olduğunu gösteriyor.
Yine de, en son versiyon şu anda Brezilya'ya odaklanmış olsa da, keşfi bu saldırganların göz önünde gizlenmenin daha akıllı yollarını bulduğunu gösteriyor. Bu nedenle, nerede olursanız olun, bu ve benzeri tehditlere karşı dikkatli olun ve daha fazla bilgi için Hackread.com'u ziyaret edin.
