Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós de SORVEPOTEL

Programari maliciós de SORVEPOTEL

El Mezo el Programari maliciós
Traduir a:

Una campanya de programari maliciós de ràpid evolució anomenada SORVEPOTEL està explotant activament la confiança que la gent diposita en WhatsApp per propagar-se a través d'entorns Windows. A diferència de molts atacs moderns dissenyats per al robatori de dades o ransomware, aquesta campanya està optimitzada per a una propagació ràpida i a gran escala, cosa que la fa especialment perillosa en contextos empresarials on un únic escriptori compromès pot generar moltes més infeccions.

Què és SORVEPOTEL?

SORVEPOTEL és una família de programari maliciós de Windows que s'autopropaga i que aprofita l'enginyeria social i la versió d'escriptori/web de WhatsApp per distribuir fitxers adjunts maliciosos als contactes i grups de les víctimes. El seu objectiu principal sembla ser la disseminació ràpida i l'abús de comptes (que resulta en correu brossa i prohibicions de comptes), no l'exfiltració immediata de dades ni el xifratge de fitxers.

Com s’atrauen les víctimes

Els atacants comencen des d'un contacte de WhatsApp compromès o, en alguns casos, amb un correu electrònic aparentment legítim. El missatge conté un fitxer ZIP disfressat d'un element innocu (per exemple, un rebut o un fitxer d'aplicació de salut). Si el destinatari obre el fitxer ZIP en un escriptori, normalment es duen a terme els passos següents:

  • La víctima és enganyada perquè iniciï una drecera de Windows (LNK) dins de l'arxiu.
  • L'LNK executa silenciosament una ordre de PowerShell que descarrega la càrrega útil de la següent etapa des d'un amfitrió extern (un exemple identificat és sorvetenopoate.com).

La càrrega útil recuperada és un script per lots que estableix la persistència i executa ordres addicionals.

Detalls d’execució i mecanismes de persistència

Un cop instal·lat, l'script per lots es copia a la carpeta d'inici de Windows, de manera que s'executarà automàticament després de l'arrencada del sistema. També invoca PowerShell per contactar amb un servidor de comandaments i control (C2) per obtenir instruccions de seguiment o per obtenir components addicionals. Aquests comportaments permeten que el programari maliciós romangui resident i accepti ordres remotes dels operadors.

WhatsApp com a motor de propagació

Una característica principal de SORVEPOTEL és la seva rutina de propagació compatible amb WhatsApp. Si el programari maliciós detecta que WhatsApp Web (el client d'escriptori/web) està actiu a la màquina infectada, automatitza la distribució del mateix ZIP maliciós a:

  • Tots els contactes vinculats al compte compromès, i
  • Tots els grups als quals pertany el compte.

Aquesta distribució automatitzada produeix un volum molt elevat de correu brossa sortint, que sovint activa la detecció d'abús de WhatsApp i porta a comptes suspesos o prohibits.

Abast i qui ha estat afectat

Fins ara, la campanya està molt concentrada al Brasil: 457 de les 477 infeccions registrades es van originar allà. Les organitzacions objectiu abasten diversos sectors, en particular:

  • govern i serveis públics
  • fabricació
  • tecnologia
  • educació
  • construcció

Cal destacar que els operadors no semblen haver utilitzat l'accés obtingut per al robatori massiu de dades ni per implementar ransomware; el resultat observable ha estat la propagació agressiva i l'abús de comptes.

Vectors de distribució addicionals observats

Tot i que els missatges basats en WhatsApp són la principal via de propagació, els analistes han trobat proves que els atacants també distribueixen els mateixos fitxers adjunts ZIP maliciosos per correu electrònic, de vegades utilitzant adreces de remitent aparentment legítimes per augmentar la credibilitat.

Per què aquesta campanya és destacable

SORVEPOTEL il·lustra una tendència en què els atacants exploten les plataformes de comunicació convencionals per multiplicar l'abast amb una interacció mínima de l'usuari. En utilitzar com a arma un contacte de confiança i la comoditat de WhatsApp Web, el programari maliciós aconsegueix una propagació lateral ràpida entre organitzacions sense necessitat de components sofisticats de robatori de dades.

Nota de cloenda

SORVEPOTEL ens recorda que les plataformes socials són canals de propagació atractius per al programari maliciós. La detecció ràpida, l'educació dels usuaris i els controls que limiten l'execució de scripts i supervisen els clients de missatgeria als ordinadors reduiran substancialment la superfície d'atac que explota aquesta campanya.

Tendència

Més vist

Carregant...