https://pepelac.news/tr/posts/id12695-whatsapp-ta-stac3150-sophos-tan-zararli-yazilim-raporu

WhatsApp’ta STAC3150: Sophos’tan zararlı yazılım raporu

WhatsApp üzerinden STAC3150 zararlı yazılım kampanyası: Sophos bulguları ve Astaroth

WhatsApp’ta STAC3150: Sophos’tan zararlı yazılım raporu

Sophos, WhatsApp üzerinden yürütülen STAC3150 zararlı yazılım kampanyasını açığa çıkarıyor: Selenium, WPPConnect ve Astaroth ile oturum ele geçirme vakaları.

2025-11-26T00:09:36+03:00

Sophos uzmanları, WhatsApp üzerinden yürütülen geniş ölçekli bir zararlı yazılım kampanyasını ortaya çıkardı. STAC3150 adı verilen operasyon, 24 Eylül 2025’ten bu yana aktif ve şimdiden 250’den fazla kullanıcıyı etkiledi. Saldırganlar altyapılarını ve araç setlerini sık sık yenileyerek savunmayı sürekli hareket halindeki bir hedefi kovalamaya zorluyor.Saldırı Portekizce bir oltalama mesajıyla başlıyor. Alıcıdan yalnızca tek seferlik görüntüleme vaadiyle bir dosyayı açması isteniyor; ancak belge yerine bir ZIP arşivi geliyor. İçeride, PowerShell’i tetikleyip ek kötü amaçlı modülleri indiren VBS veya HTA betikleri bulunuyor. Tuzak sade ve doğrudan; bu da muhtemelen günlük sohbet trafiğinin içine karışmasını kolaylaştırıyor. Kurgu, zincirin her halkasını mümkün olduğunca görünmez kılmaya odaklanmış izlenimi bırakıyor.Eylül ayının sonlarına doğru bu modüller, özel hazırlanmış posta kutularından ikinci aşamayı çekmek için IMAP üzerinden operatörlerin sunucularıyla iletişim kuruyordu. Ekim başında düzen değişti: indirmeler bu kez HTTP bağlantısıyla varegjopeaks[.]com alan adından gelmeye başladı. Buradan sonra PowerShell ve Python betikleri devreye giriyor; Selenium WebDriver ve WPPConnect kullanılarak WhatsApp Web oturumlarının ele geçirilmesi otomatikleştiriliyor. Bu sayede belirteçlerin çalınması, kişi listelerinin kopyalanması ve enfekte ZIP arşivlerinin bir sonraki kurbanlara otomatik gönderimi mümkün oluyor; ele geçirilen hesaplar da farkında olmadan kampanyanın yayılmasını hızlandıran birer araca dönüşüyor.Ekim sonuna gelindiğinde kampanya bir kez daha evrildi ve saldırganlar Astaroth (Guildma) adlı bankacılık truva atını taşıyan bir MSI yükleyiciyi devreye soktu. Kurulumdan sonra ek dosyalar oluşturuluyor, kalıcılık için başlangıca ekleniyor ve sıradan bir .log dosyası gibi görünen kötü amaçlı bir AutoIt betiği çalıştırılıyor. Sophos’a göre tespit edilen vakaların çoğu Brezilya’da ve taktikler hızlı bir tempoyla değişiyor; bu hız, kampanyanın genelindeki ani manevralarla uyumlu.

WhatsApp, STAC3150, Sophos, zararlı yazılım, Astaroth, Guildma, WhatsApp Web, PowerShell, VBS, HTA, Selenium, WPPConnect, IMAP, ZIP arşivi, MSI yükleyici, AutoIt, Brezilya

2025

Danny Weber

news

WhatsApp üzerinden STAC3150 zararlı yazılım kampanyası: Sophos bulguları ve Astaroth

Sophos, WhatsApp üzerinden yürütülen STAC3150 zararlı yazılım kampanyasını açığa çıkarıyor: Selenium, WPPConnect ve Astaroth ile oturum ele geçirme vakaları.

Danny Weber, Editor

00:09 26-11-2025

Saldırı Portekizce bir oltalama mesajıyla başlıyor. Alıcıdan yalnızca tek seferlik görüntüleme vaadiyle bir dosyayı açması isteniyor; ancak belge yerine bir ZIP arşivi geliyor. İçeride, PowerShell’i tetikleyip ek kötü amaçlı modülleri indiren VBS veya HTA betikleri bulunuyor. Tuzak sade ve doğrudan; bu da muhtemelen günlük sohbet trafiğinin içine karışmasını kolaylaştırıyor. Kurgu, zincirin her halkasını mümkün olduğunca görünmez kılmaya odaklanmış izlenimi bırakıyor.

Eylül ayının sonlarına doğru bu modüller, özel hazırlanmış posta kutularından ikinci aşamayı çekmek için IMAP üzerinden operatörlerin sunucularıyla iletişim kuruyordu. Ekim başında düzen değişti: indirmeler bu kez HTTP bağlantısıyla varegjopeaks[.]com alan adından gelmeye başladı. Buradan sonra PowerShell ve Python betikleri devreye giriyor; Selenium WebDriver ve WPPConnect kullanılarak WhatsApp Web oturumlarının ele geçirilmesi otomatikleştiriliyor. Bu sayede belirteçlerin çalınması, kişi listelerinin kopyalanması ve enfekte ZIP arşivlerinin bir sonraki kurbanlara otomatik gönderimi mümkün oluyor; ele geçirilen hesaplar da farkında olmadan kampanyanın yayılmasını hızlandıran birer araca dönüşüyor.

Ekim sonuna gelindiğinde kampanya bir kez daha evrildi ve saldırganlar Astaroth (Guildma) adlı bankacılık truva atını taşıyan bir MSI yükleyiciyi devreye soktu. Kurulumdan sonra ek dosyalar oluşturuluyor, kalıcılık için başlangıca ekleniyor ve sıradan bir .log dosyası gibi görünen kötü amaçlı bir AutoIt betiği çalıştırılıyor. Sophos’a göre tespit edilen vakaların çoğu Brezilya’da ve taktikler hızlı bir tempoyla değişiyor; bu hız, kampanyanın genelindeki ani manevralarla uyumlu.