SORVEPOTELi pahavara
Kiirelt leviv pahavarakampaania nimega SORVEPOTEL kasutab aktiivselt ära inimeste usaldust WhatsAppi vastu, et levitada end Windowsi keskkondades. Erinevalt paljudest tänapäevastest andmete varguse või lunavara rünnakutest on see kampaania optimeeritud kiireks ja laiaulatuslikuks levikuks – mis muudab selle eriti ohtlikuks ettevõtete kontekstides, kus üks nakatunud töölaud võib külvata palju rohkem nakkusi.
Sisukord
Mis on SORVEPOTEL?
SORVEPOTEL on iseleviv Windowsi pahavaraperekond, mis kasutab sotsiaalset manipuleerimist ja WhatsAppi töölaua-/veebiversiooni, et levitada pahatahtlikke manuseid ohvri kontaktidele ja gruppidele. Selle peamine eesmärk näib olevat kiire levitamine ja kontode kuritarvitamine (mille tulemuseks on rämpspost ja kontode blokeerimine), mitte kohene andmete väljavool või failide krüptimine.
Kuidas ohvreid meelitatakse
Ründajad alustavad ohustatud WhatsAppi kontaktist või mõnel juhul pealtnäha õigustatud e-kirjast. Sõnum sisaldab ZIP-faili, mis on maskeeritud süütuks elemendiks (näiteks kviitung või terviserakenduse fail). Kui saaja avab ZIP-faili lauaarvutis, toimivad tavaliselt järgmised sammud:
- Ohver meelitatakse arhiivis asuvat Windowsi otseteed (LNK) käivitama.
- LNK käivitab vaikselt PowerShelli käsu, mis laadib järgmise etapi kasuliku koormuse alla väliselt hostist (tuvastatud näide on sorvetenopoate.com).
Tagastatud kasulik koormus on partiiskript, mis loob püsivuse ja käivitab edasised käsud.
Täitmise üksikasjad ja püsivuse mehhanismid
Pärast installimist kopeerib pakk-skript end Windowsi käivituskausta, et see pärast süsteemi käivitamist automaatselt käivituks. Samuti käivitab see PowerShelli, et võtta ühendust Command-and-Control (C2) serveriga järeljuhiste saamiseks või täiendavate komponentide hankimiseks. Selline käitumine võimaldab pahavaral jääda süsteemi ja aktsepteerida operaatoritelt kaugkäsklusi.
WhatsApp kui levikumootor
SORVEPOTELi põhifunktsioon on WhatsAppi-teadlik levitusrutiin. Kui pahavara tuvastab, et WhatsApp Web (töölaua-/veebiklient) on nakatunud masinas aktiivne, automatiseerib see sama pahatahtliku ZIP-faili levitamise järgmistele kohtadele:
- Kõik ohustatud kontoga seotud kontaktid ja
- Kõik grupid, kuhu konto kuulub.
See automatiseeritud levitamine tekitab väga suure hulga väljaminevat rämpsposti, mis sageli käivitab WhatsAppi kuritarvituste tuvastamise ja viib kontode peatamise või keelamiseni.
Ulatus ja keda on tabatud
Kampaania on seni koondunud suuresti Brasiiliasse: 477 registreeritud nakkusest 457 pärinesid sealt. Sihitud organisatsioonid hõlmavad mitut sektorit, eelkõige:
- valitsus ja avalikud teenused
- tootmine
- tehnoloogia
- haridus
- ehitus
Tähelepanuväärne on see, et operaatorid ei paista olevat kasutanud saadud juurdepääsu massiliseks andmevarguseks ega lunavara levitamiseks; jälgitav tulemus on olnud agressiivne levitamine ja kontode kuritarvitamine.
Täheldatud täiendavad jaotusvektorid
Kuigi WhatsAppi-põhised sõnumid on peamine levikutee, on analüütikud leidnud tõendeid, et ründajad levitavad samu pahatahtlikke ZIP-manuseid ka e-posti teel, kasutades mõnikord usaldusväärsuse suurendamiseks pealtnäha õigustatud saatja aadresse.
Miks see kampaania on tähelepanuväärne
SORVEPOTEL illustreerib trendi, kus ründajad kasutavad ära peavoolu suhtlusplatvorme, et minimaalse kasutajainteraktsiooniga mitmekordselt sihtrühma jõuda. Kasutades relvana usaldusväärset kontakti ja WhatsApp Webi mugavust, saavutab pahavara kiire leviku organisatsioonides ilma keerukate andmevarguse komponentideta.
Lõppsõna
SORVEPOTEL tuletab meelde, et sotsiaalmeedia platvormid on pahavara jaoks atraktiivsed levimiskanalid. Kiire tuvastamine, kasutajate koolitamine ja kontrollid, mis piiravad skriptide täitmist ja jälgivad sõnumside kliente lauaarvutites, vähendavad oluliselt rünnakupinda, mida see kampaania ära kasutab.
