Siber güvenlik araştırmacıları, Brezilya'yı hedef alan saldırılarda Astaroth adlı bir Windows bankacılık truva atının dağıtım vektörü olarak WhatsApp'ı
kullanan yeni bir kampanyanın ayrıntılarını açıkladı .
Acronis Tehdit Araştırma Birimi tarafından kampanyaya Boto Cor-de-Rosa kod adı verildi.
Siber güvenlik şirketi, The Hacker News ile paylaştığı bir raporda, "Zararılı yazılım, kurbanın WhatsApp kişi listesini alıyor ve enfeksiyonu daha da yaymak için her kişiye otomatik olarak kötü amaçlı mesajlar gönderiyor" dedi .
"Astaroth zararlı yazılımının temel kodu Delphi ile yazılmış ve yükleyicisi Visual Basic betiğine dayanırken, yeni eklenen WhatsApp tabanlı solucan modülü tamamen Python ile uygulanmıştır; bu da tehdit aktörlerinin çok dilli modüler bileşenleri giderek daha fazla kullandığını göstermektedir."
Astaroth, diğer adıyla Guildma, 2015 yılından beri yaygın olarak görülen ve özellikle Latin Amerika'daki, bilhassa Brezilya'daki kullanıcıları hedef alarak veri hırsızlığını kolaylaştıran bir bankacılık kötü amaçlı yazılımıdır. 2024 yılında, PINEAPPLE ve Water Makara olarak izlenen iki farklı tehdit kümesinin , kötü amaçlı yazılımı yaymak için kimlik avı e-postalarını kullandığı gözlemlenmiştir.
WhatsApp'ın bankacılık truva atlarının yayılması için bir araç olarak kullanılması, Brezilyalı kullanıcıları hedef alan tehdit aktörleri arasında giderek yaygınlaşan yeni bir taktiktir ve bu durum, mesajlaşma platformunun ülkede yaygın kullanımıyla desteklenmektedir. Geçtiğimiz ay Trend Micro, Water Saci'nin Maverick ve Casbaneiro'nun bir varyantını yaymak için WhatsApp'a nasıl güvendiğini ayrıntılı olarak ele almıştı .
Sophos, Kasım 2025'te yayınladığı bir raporda , Astaroth adlı zararlı yazılımın Brezilya'daki WhatsApp kullanıcılarını hedef aldığı STAC3150 kod adlı çok aşamalı bir dağıtım kampanyasını takip ettiğini belirtti. Etkilenen cihazların %95'inden fazlası Brezilya'da bulunurken, geri kalan enfeksiyonlar ABD ve Avusturya'ya yayılmıştı.
En az 24 Eylül 2025'ten beri aktif olan bu faaliyet, WhatsApp kullanıcı verilerini toplamak ve daha fazla yaymak için bir PowerShell veya Python betiği indiren bir komut dosyası içeren ZIP arşivleri ve truva atını dağıtan bir MSI yükleyici içeriyor. Acronis'in son bulguları, WhatsApp mesajları aracılığıyla dağıtılan ZIP dosyalarının kötü amaçlı yazılım bulaşması için bir başlangıç noktası görevi gördüğü bu eğilimin devamı niteliğinde.
Siber güvenlik şirketi, "Kurban arşivi çıkarıp açtığında, zararsız bir dosya gibi görünen bir Visual Basic komut dosyasıyla karşılaşıyor" dedi. "Bu komut dosyasının çalıştırılması, bir sonraki aşama bileşenlerinin indirilmesini tetikliyor ve saldırının başlangıcını işaret ediyor."
Bu, iki modülü içerir -
- Kurbanın WhatsApp kişi listesini toplayan ve otomatik olarak her birine zararlı bir ZIP dosyası gönderen, Python tabanlı bir yayılma modülü; bu sayede zararlı yazılım solucan benzeri bir şekilde yayılıyor.
- Arka planda çalışan ve kurbanın web tarama etkinliğini sürekli olarak izleyen, bankacılıkla ilgili URL'ler ziyaret edildiğinde devreye giren ve kimlik bilgilerini toplayarak mali kazanç sağlayan bir bankacılık modülü.
Acronis'in açıklamasına göre, "Kötü amaçlı yazılımın yazarı, yayılma metriklerini gerçek zamanlı olarak izlemek ve raporlamak için yerleşik bir mekanizma da uyguladı. Kod, periyodik olarak başarıyla iletilen mesaj sayısı, başarısız girişim sayısı ve dakikada mesaj olarak ölçülen gönderme hızı gibi istatistikleri kaydediyor."
Kaynak : https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html
