SORVEPOTEL-haittaohjelma
Nopeasti leviävä haittaohjelmakampanja nimeltä SORVEPOTEL hyödyntää aktiivisesti ihmisten WhatsAppiin kohdistamaa luottamusta levittääkseen itseään Windows-ympäristöissä. Toisin kuin monet nykyaikaiset tietovarkauksiin tai kiristysohjelmiin tarkoitetut hyökkäykset, tämä kampanja on optimoitu nopeaan ja laajamittaiseen leviämiseen – mikä tekee siitä erityisen vaarallisen yritysympäristöissä, joissa yksi vaarantunut työpöytä voi kylvää paljon useampia tartuntoja.
Sisällysluettelo
Mikä on SORVEPOTEL?
SORVEPOTEL on itseään leviävä Windows-haittaohjelmaperhe, joka hyödyntää sosiaalista manipulointia ja WhatsAppin työpöytä-/verkkoversiota levittääkseen haitallisia liitteitä uhrin yhteystiedoille ja ryhmille. Sen ensisijainen tavoite näyttää olevan nopea levittäminen ja tilien väärinkäyttö (mikä johtaa roskapostiin ja tilien sulkemiseen), ei välitön tietojen vuotaminen tai tiedostojen salaaminen.
Miten uhrit houkutellaan
Hyökkääjät aloittavat vaarantuneesta WhatsApp-yhteystiedosta tai joissakin tapauksissa näennäisesti laillisesta sähköpostista. Viesti sisältää ZIP-tiedoston, joka on naamioitu vaarattomaksi tiedostoksi (esimerkiksi kuitti tai terveyssovellustiedosto). Jos vastaanottaja avaa ZIP-tiedoston tietokoneella, seuraavat vaiheet tapahtuvat yleensä:
- Uhri huijataan käynnistämään Windows-pikakuvake (LNK) arkistosta.
- LNK suorittaa hiljaisesti PowerShell-komennon, joka lataa seuraavan vaiheen hyötykuorman ulkoiselta isännältä (tunnistettu esimerkki on sorvetenopoate.com).
Noudettu hyötykuorma on eräajokomentosarja, joka määrittää pysyvyyden ja suorittaa lisäkomentoja.
Toteutustiedot ja pysyvyysmekanismit
Asennuksen jälkeen eräajokomentosarja kopioi itsensä Windowsin käynnistyskansioon, joten se käynnistyy automaattisesti järjestelmän käynnistyksen jälkeen. Se myös käynnistää PowerShellin ottaakseen yhteyttä Command-and-Control (C2) -palvelimeen saadakseen jatko-ohjeita tai noutaakseen lisäkomponentteja. Näiden toimintojen ansiosta haittaohjelma voi pysyä paikallaan ja vastaanottaa etäkomentoja käyttäjiltä.
WhatsApp leviämismoottorina
SORVEPOTELin ydinominaisuus on sen WhatsApp-tietoinen levitysrutiini. Jos haittaohjelma havaitsee, että WhatsApp Web (työpöytä-/verkkosovellus) on aktiivinen tartunnan saaneella koneella, se automatisoi saman haitallisen ZIP-tiedoston levittämisen:
- Kaikki vaarantuneeseen tiliin linkitetyt yhteystiedot ja
- Kaikki ryhmät, joihin tili kuuluu.
Tämä automaattinen jakelu tuottaa erittäin suuren määrän lähtevää roskapostia, mikä usein laukaisee WhatsAppin väärinkäytösten havaitsemisen ja johtaa tilien jäädyttämiseen tai sulkemiseen.
Laajuus ja ketä on osuttu
Kampanja on tähän mennessä keskittynyt vahvasti Brasiliaan: 477:stä kirjatusta tartunnasta 457 on peräisin sieltä. Kohdennettuina olevat organisaatiot kattavat useita sektoreita, erityisesti:
- hallitus ja julkiset palvelut
- valmistus
- teknologia
- koulutus
- rakentaminen
Merkillepantavaa on, että operaattorit eivät näytä käyttäneen saatuja pääsyjä joukkotietovarkauksiin tai kiristysohjelmien käyttöönottoon; havaittavissa oleva tulos on ollut aggressiivinen leviäminen ja tilien väärinkäyttö.
Lisähavaitut levinneisyysvektorit
Vaikka WhatsApp-pohjaiset viestit ovat ensisijainen levitysreitti, analyytikot ovat löytäneet todisteita siitä, että hyökkääjät levittävät samoja haitallisia ZIP-liitteitä myös sähköpostin välityksellä, joskus käyttämällä näennäisesti laillisia lähettäjän osoitteita uskottavuuden lisäämiseksi.
Miksi tämä kampanja on merkittävä
SORVEPOTEL havainnollistaa trendiä, jossa hyökkääjät hyödyntävät valtavirran viestintäalustoja moninkertaistaakseen tavoittavuuden minimaalisella käyttäjän vuorovaikutuksella. Käyttämällä luotettavaa yhteyshenkilöä ja WhatsApp Webin kätevyyttä haittaohjelma leviää nopeasti organisaatioiden välillä ilman kehittyneitä tietovarkauksiin tarkoitettuja komponentteja.
Loppuhuomautus
SORVEPOTEL muistuttaa siitä, että sosiaalisen median alustat ovat houkuttelevia leviämiskanavia haittaohjelmille. Nopea havaitseminen, käyttäjien koulutus ja komentosarjojen suoritusta rajoittavat ja viestiohjelmia valvovat hallintalaitteet työpöytäkoneilla vähentävät merkittävästi tämän kampanjan hyödyntämää hyökkäyspinta-alaa.
