عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برامج SORVEPOTE الخبيثة

برامج SORVEPOTE الخبيثة

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

حملة برمجيات خبيثة سريعة الانتشار تُسمى SORVEPOTEL تستغل بنشاط ثقة الناس بتطبيق واتساب للانتشار عبر أنظمة ويندوز. وخلافًا للعديد من الهجمات الحديثة المصممة لسرقة البيانات أو برامج الفدية، صُممت هذه الحملة للانتشار السريع وعلى نطاق واسع، مما يجعلها خطيرة بشكل خاص في سياقات المؤسسات، حيث يمكن لجهاز كمبيوتر واحد مُخترق أن يُسبب المزيد من الإصابات.

ما هو سورفيبوتيل

SORVEPOTEL هي عائلة برمجيات خبيثة ذاتية الانتشار تعمل على نظام ويندوز، وتستغل الهندسة الاجتماعية وإصدار واتساب لسطح المكتب/الويب لتوزيع مرفقات خبيثة على جهات اتصال الضحية ومجموعاتها. ويبدو أن هدفها الرئيسي هو الانتشار السريع وإساءة استخدام الحسابات (مما يؤدي إلى رسائل غير مرغوب فيها وحظر الحسابات)، وليس استخراج البيانات أو تشفير الملفات فورًا.

كيف يتم إغراء الضحايا

يبدأ المهاجمون من جهة اتصال واتساب مُخترقة، أو في بعض الحالات، من بريد إلكتروني يبدو شرعيًا. تحتوي الرسالة على ملف ZIP مُموّه على شكل ملف غير ضار (مثل إيصال أو ملف تطبيق صحي). إذا فتح المُستلِم ملف ZIP على جهاز كمبيوتر، فعادةً ما تحدث الخطوات التالية:

  • يتم خداع الضحية لتشغيل اختصار Windows (LNK) داخل الأرشيف.
  • يقوم LNK بتشغيل أمر PowerShell بصمت والذي يقوم بتنزيل الحمولة الخاصة بالمرحلة التالية من مضيف خارجي (مثال تم تحديده هو sorvetenopoate.com).

الحمولة المستردة عبارة عن نص برمجي دفعي ينشئ الاستمرارية وينفذ أوامر أخرى.

تفاصيل التنفيذ وآليات الاستمرار

بمجرد تثبيت البرنامج النصي الدفعي، يُنسخ نفسه إلى مجلد بدء تشغيل ويندوز ليتم تشغيله تلقائيًا بعد تشغيل النظام. كما يستدعي البرنامج PowerShell للاتصال بخادم الأوامر والتحكم (C2) للحصول على تعليمات المتابعة أو لجلب مكونات إضافية. تُمكّن هذه السلوكيات البرنامج الخبيث من البقاء مقيمًا وقبول الأوامر عن بُعد من المشغلين.

واتساب كمحرك للانتشار

من أهم ميزات SORVEPOTEL آلية الانتشار المتوافقة مع واتساب. إذا اكتشف البرنامج الخبيث أن واتساب ويب (سطح المكتب/عميل الويب) نشط على الجهاز المصاب، فإنه يُؤتمت توزيع ملف ZIP الخبيث نفسه إلى:

  • جميع جهات الاتصال المرتبطة بالحساب المخترق، و
  • جميع المجموعات التي ينتمي إليها الحساب.

يؤدي هذا التوزيع التلقائي إلى إنتاج حجم كبير جدًا من رسائل البريد العشوائي الصادرة، مما يؤدي غالبًا إلى اكتشاف إساءة استخدام WhatsApp ويؤدي إلى تعليق الحسابات أو حظرها.

النطاق ومن أصيب

تركزت الحملة حتى الآن بشكل كبير في البرازيل: 457 من أصل 477 إصابة مسجلة نشأت هناك. وتغطي المنظمات المستهدفة عدة قطاعات، أبرزها:

  • الحكومة والخدمات العامة
  • تصنيع
  • تكنولوجيا
  • تعليم
  • بناء

ومن الجدير بالذكر أن المشغلين لا يبدو أنهم استخدموا الوصول المكتسب لسرقة البيانات الجماعية أو لنشر برامج الفدية؛ وكانت النتيجة الملحوظة هي الانتشار العدواني وإساءة استخدام الحسابات.

متجهات التوزيع الإضافية التي تمت ملاحظتها

على الرغم من أن الرسائل التي تعتمد على تطبيق WhatsApp هي طريق الانتشار الأساسي، فقد وجد المحللون أدلة على أن المهاجمين يوزعون أيضًا نفس مرفقات ZIP الضارة عبر البريد الإلكتروني، ويستخدمون في بعض الأحيان عناوين مرسلين شرعية على ما يبدو لزيادة المصداقية.

لماذا تعتبر هذه الحملة جديرة بالملاحظة

يوضح SORVEPOTEL اتجاهًا يستغل فيه المهاجمون منصات الاتصال السائدة لزيادة نطاق الوصول بأقل قدر من تفاعل المستخدم. من خلال استغلال جهة اتصال موثوقة وسهولة استخدام WhatsApp Web، يحقق البرنامج الخبيث انتشارًا جانبيًا سريعًا عبر المؤسسات دون الحاجة إلى مكونات متطورة لسرقة البيانات.

ملاحظة ختامية

يُذكّر SORVEPOTEL بأن منصات التواصل الاجتماعي تُعدّ قنواتٍ جاذبةً لانتشار البرمجيات الخبيثة. فالكشف السريع، وتوعية المستخدمين، والضوابط التي تُقيّد تنفيذ البرامج النصية وتُراقب عملاء المراسلة على أجهزة الكمبيوتر، ستُقلّل بشكلٍ ملموس من مساحة الهجوم التي تستغلها هذه الحملة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
34,321
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...