بدافزار SORVEPOTEL

یک کمپین بدافزاری سریع‌السیر به نام SORVEPOTEL به طور فعال از اعتمادی که مردم به واتس‌اپ دارند سوءاستفاده می‌کند تا خود را در محیط‌های ویندوز منتشر کند. برخلاف بسیاری از حملات مدرن که برای سرقت داده‌ها یا باج‌افزار ساخته شده‌اند، این کمپین برای انتشار سریع و در مقیاس بزرگ بهینه شده است - که آن را به ویژه در زمینه‌های سازمانی خطرناک می‌کند، جایی که یک دسکتاپ آلوده می‌تواند آلودگی‌های بسیار بیشتری را ایجاد کند.

سوروپوتل چیست؟

SORVEPOTEL یک خانواده بدافزار ویندوزی خود-منتشرکننده است که از مهندسی اجتماعی و نسخه دسکتاپ/وب واتس‌اپ برای توزیع پیوست‌های مخرب در مخاطبین و گروه‌های قربانی استفاده می‌کند. به نظر می‌رسد هدف اصلی آن انتشار سریع و سوءاستفاده از حساب (منجر به هرزنامه و مسدود شدن حساب) است، نه استخراج فوری داده‌ها یا رمزگذاری فایل‌ها.

چگونه قربانیان فریب داده می‌شوند

مهاجمان از یک مخاطب هک شده در واتس‌اپ یا در برخی موارد، با یک ایمیل به ظاهر قانونی شروع می‌کنند. این پیام حاوی یک فایل زیپ است که به عنوان یک مورد بی‌ضرر (مثلاً یک رسید یا فایل برنامه سلامت) پنهان شده است. اگر گیرنده فایل زیپ را روی دسکتاپ باز کند، معمولاً مراحل زیر اتفاق می‌افتد:

• قربانی فریب می‌خورد تا یک میانبر ویندوز (LNK) را درون آرشیو اجرا کند.
• LNK بی‌سروصدا یک دستور PowerShell را اجرا می‌کند که payload مرحله بعدی را از یک میزبان خارجی دانلود می‌کند (یک نمونه شناسایی‌شده sorvetenopoate.com است).

بار داده بازیابی‌شده یک اسکریپت دسته‌ای است که پایداری ایجاد کرده و دستورات بعدی را اجرا می‌کند.

جزئیات اجرا و مکانیسم‌های ماندگاری

پس از نصب، اسکریپت دسته‌ای خود را در پوشه‌ی راه‌اندازی ویندوز کپی می‌کند تا پس از بوت شدن سیستم به طور خودکار اجرا شود. همچنین PowerShell را برای تماس با یک سرور Command‑and‑Control (C2) برای دستورالعمل‌های بعدی یا دریافت اجزای اضافی فراخوانی می‌کند. این رفتارها به بدافزار اجازه می‌دهد تا در سیستم باقی بماند و دستورات از راه دور را از اپراتورها بپذیرد.

واتس‌اپ به عنوان موتور انتشار

یکی از ویژگی‌های اصلی SORVEPOTEL، روال انتشار آن با قابلیت همگام‌سازی با واتس‌اپ است. اگر بدافزار تشخیص دهد که واتس‌اپ وب (نسخه دسکتاپ/وب) در دستگاه آلوده فعال است، توزیع همان فایل زیپ مخرب را به صورت خودکار انجام می‌دهد:

• تمام مخاطبین مرتبط با حساب کاربری هک شده، و
• تمام گروه‌هایی که حساب کاربری به آنها تعلق دارد.

این توزیع خودکار، حجم بسیار بالایی از هرزنامه‌های خروجی تولید می‌کند که اغلب باعث تشخیص سوءاستفاده توسط واتس‌اپ شده و منجر به تعلیق یا مسدود شدن حساب‌ها می‌شود.

دامنه و چه کسی مورد اصابت قرار گرفته است

این کمپین تاکنون به شدت در برزیل متمرکز بوده است: ۴۵۷ مورد از ۴۷۷ مورد آلودگی ثبت شده از آنجا سرچشمه گرفته است. سازمان‌های هدف شامل چندین بخش هستند، به ویژه:

• خدمات دولتی و عمومی
• تولید
• فناوری
• آموزش و پرورش
• ساخت و ساز

نکته قابل توجه این است که به نظر نمی‌رسد اپراتورها از دسترسی به دست آمده برای سرقت انبوه داده‌ها یا استقرار باج‌افزار استفاده کرده باشند؛ نتیجه قابل مشاهده، انتشار تهاجمی و سوءاستفاده از حساب‌ها بوده است.

بردارهای توزیع اضافی مشاهده شده

اگرچه پیام‌های مبتنی بر واتس‌اپ مسیر اصلی انتشار هستند، تحلیلگران شواهدی یافته‌اند که نشان می‌دهد مهاجمان همین پیوست‌های ZIP مخرب را از طریق ایمیل نیز توزیع می‌کنند و گاهی اوقات از آدرس‌های فرستنده ظاهراً قانونی برای افزایش اعتبار استفاده می‌کنند.

چرا این کمپین قابل توجه است؟

SORVEPOTEL روندی را نشان می‌دهد که در آن مهاجمان از پلتفرم‌های ارتباطی رایج برای افزایش دسترسی با حداقل تعامل با کاربر سوءاستفاده می‌کنند. این بدافزار با سوءاستفاده از یک مخاطب مورد اعتماد و سهولت استفاده از واتس‌اپ وب، بدون نیاز به اجزای پیچیده سرقت اطلاعات، به سرعت در سراسر سازمان‌ها منتشر می‌شود.

نکته پایانی

SORVEPOTEL یادآوری می‌کند که پلتفرم‌های اجتماعی کانال‌های انتشار جذابی برای بدافزارها هستند. تشخیص سریع، آموزش کاربر و کنترل‌هایی که اجرای اسکریپت را محدود می‌کنند و کلاینت‌های پیام‌رسان را روی دسکتاپ‌ها نظارت می‌کنند، سطح حمله‌ای را که این کمپین از آن سوءاستفاده می‌کند، به طور قابل توجهی کاهش می‌دهند.