Sorvepotel Nedir? WhatsApp’ta Büyük Tehlike 2026

Severek kullandığımız mesajlaşma uygulamasında Kendi kendine kötü amaçlı yazılım üreten bir virüs tespit edildi.

SORVEPOTEL Hakkında Bilgi

SORVEPOTEL, 2025 yılında keşfedilen ve hızla yayılan bir zararlı yazılım (malware) kampanyasıdır. Özellikle Brezilya kökenli bu tehdit, WhatsApp üzerinden bulaşarak kendini otomatik olarak yayma yeteneğiyle dikkat çekiyor. “Brezilya virüsü” olarak da anılan bu malware, tıbbi bir virüs değil, siber bir saldırıdır. Adını Brezilya mutfağındaki “sorvete” (dondurma) yemeğinden alan bu kampanya, Water Saci olarak da biliniyor ve öncelikle Windows sistemlerini hedef alıyor. Temel amacı hızlı yayılmak ve finansal verileri çalmak; fidye veya veri şifreleme odaklı değil, yayılma hızına öncelik veriyor.

Keşif ve YayılmaTarihçe: İlk olarak Eylül 2025’te Brezilya’da tespit edildi. Trend Micro ve Kudelski Security gibi firmalar tarafından analiz edildi. Ekim 2025 itibarıyla 477’den fazla sistem enfekte oldu ve hükümet kurumları, bankacılık, eğitim, inşaat ile teknoloji sektörlerini vurdu.

Hedef Kitle: Başta Brezilya’daki banka müşterileri ve kripto para kullanıcıları. Kurumsal kullanıcılara odaklanıyor; mesajlar “masaüstünde açın” diye belirtilerek bireysel değil, iş kullanıcılarını hedefliyor.Küresel Durum: Brezilya merkezli olsa da, WhatsApp’ın yaygınlığı nedeniyle Avrupa ve Latin Amerika’ya sıçrama riski taşıyor. Türkiye’de de “Brezilya virüsü” uyarıları artıyor.

Nasıl Bulaşıyor?SORVEPOTEL, sosyal mühendislik ve otomasyonu birleştirerek yayılıyor:Phishing Mesajları: WhatsApp’tan gelen güvenilir bir kişiden (arkadaş veya iş arkadaşı) gibi görünen mesajlarla başlıyor. Mesajda “fatura”, “sağlık formu” veya “bütçe” gibi masum ZIP dosyaları (örneğin, RES-20250930112057.zip) ekli.Yükleme Zinciri:ZIP’i açınca .LNK kısayol dosyası çalışıyor.Bu, PowerShell script’ini tetikliyor; Base64 kodlu komutlarla batch dosyası indiriyor (örneğin, sorvetenopoate[.]com’dan).Batch dosyası Windows Startup klasörüne kopyalanarak kalıcılık sağlıyor ve .NET DLL’leri (Maverick.StageTwo) indirip bellekte çalıştırıyor.

Otomatik Yayılma: Eğer WhatsApp Web aktifse (QR kod taranmış), malware tarayıcıyı (Chrome, Firefox vb.) ele geçirip tüm kişilere ve gruplara aynı ZIP’i gönderiyor. JavaScript bundle ile WhatsApp’ın iç API’lerini kullanıyor; bu, toplu spam yaratıp hesabı banlatıyor.

İkincil Bileşenler: İndirilen payload’lar arasında Maverick.Agent var; bu, 65 Latin Amerika banka sitesini izliyor ve sahte overlay pencereleriyle kimlik bilgilerini çalıyor.

Ne Yapıyor?Finansal Hırsızlık: Tarayıcıdan (Chrome, Edge, Firefox) şifre ve çerezleri çalıyor; Brezilya bankaları (örneğin, Itaú) ve kripto platformları (Binance, Coinbase) hedefte.

Sistem İzleme: Aktif pencereleri tarıyor; finansal site açılınca C2 sunucusuna (zapgrande[.]com) bağlanıp komut bekliyor.

Kaçınma Teknikleri: Anti-analiz ve anti-debugging kullanıyor; Windows Defender’ı devre dışı bırakabiliyor, bellekte çalışarak tespit edilmekten kaçınıyor.Sonuçlar: Hesap banı, kimlik hırsızlığı, finansal kayıp ve botnet’e dahil olma. Enfekte sistemler, saldırganlara veri akışı sağlıyor.Korunma ve TemizlemeÖnleme: Bilinmeyen ZIP’leri açmayın; göndereni doğrulayın.WhatsApp’ta iki faktörlü doğrulamayı açın ve Web oturumlarını sınırlayın.Antivirüs (Trend Micro, Malwarebytes) güncel tutun; PowerShell kısıtlamaları ekleyin.Kurumsal için: Endpoint koruma ve WhatsApp entegrasyonlarını denetleyin.

Temizleme:Tam sistem taraması yapın (PCRisk veya Malware Guide rehberleri takip edin).Startup klasörünü temizleyin, şüpheli batch/DLL’leri silin.WhatsApp’ı yeniden yükleyin ve şifreleri değiştirin.IOCs (Örnekler): Hash’ler (SHA256: çeşitli), domain’ler (sorvetenopoate.com), URL’ler (C2 sunucuları).

WhatsApp Hesabımı nasıl güvenli kullanırım yazımıza tıklayarak kendinize güvene alabilirsiniz.