Saldırı süreci, kurbanın WhatsApp üzerinden gönderilen ikna edici bir mesajla kandırılıp VBS uzantılı dosyayı çalıştırması ile başlıyor. Sosyal mühendislik yöntemleriyle kullanıcı bu dosyaya tıklamaya yönlendiriliyor. “teste_obscado.vbs” çalıştırılır çalıştırılmaz arka planda bir BAT dosyası tetikleniyor ve böylece kötü amaçlı yazılım zinciri başlatılıyor.

VBS’nin tetiklediği BAT dosyası, saldırıyı iki farklı kola ayırarak işletiyor. Birinci kolda, “whats.py” adlı Python tabanlı solucan devreye giriyor. Bu solucan, kurbanın WhatsApp Web oturumuna erişip tüm kişi listesini topluyor ve saldırgana iletiyor. Ardından kurbanın kişilerinin tamamına otomatik olarak kötü amaçlı ekler içeren mesajlar göndererek kendisini hızla yaymaya başlıyor. Böylece saldırı kısa sürede çok sayıda kullanıcıya ulaşıyor.

İkinci kolda BAT dosyası, “installer.msi” adlı yükleyiciyi çalıştırıyor. MSI içindeki AutoIt betiği, sistemin Brezilya Portekizcesi kullanıp kullanmadığını kontrol ederek yalnızca belirli coğrafyalara odaklanıyor. Ardından güvenlik yazılımlarını tarıyor, sistem profilini çıkarıyor ve asıl zararlı yükün hazırlanması için ortamı oluşturuyor. Daha sonra “Injector.exe” çalıştırılarak Eternidade Stealer isimli bankacılık ve kripto odaklı kötü amaçlı yazılım sistemde gizlice “svchost.exe” sürecine enjekte ediliyor.

Eternidade Stealer, sabit bir C2 adresi yerine IMAP üzerinden bir e-posta hesabına bağlanarak güncel komuta-kontrol sunucusu adresini dinamik olarak alıyor. Böylece saldırganlar istedikleri zaman C2 adresini değiştirebiliyor ve tespit edilmekten kaçabiliyor. Stealer devreye girdikten sonra tuş kaydı, ekran görüntüsü alma, kimlik bilgisi hırsızlığı ve dosya çalma gibi komutları saldırganın gönderdiği an uygulayabiliyor. Sonuç olarak, tek bir VBS dosyası çalıştırılmasıyla başlayan bu saldırı, hem hızlı yayılan bir WhatsApp solucanı hem de derin erişim sağlayan bir kimlik bilgisi hırsızı ile birleşerek son derece etkili ve tehlikeli bir yapı oluşturuyor.

https://thehackernews.com/2025/11/python-based-whatsapp-worm-spreads.html