הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של SORVEPOTEL

תוכנה זדונית של SORVEPOTEL

עד Mezo ב-תוכנה זדונית
לתרגם ל:

קמפיין תוכנות זדוניות מהיר בשם SORVEPOTEL מנצל באופן פעיל את האמון שאנשים נותנים בוואטסאפ כדי להפיץ את עצמו בסביבות Windows. בניגוד למתקפות מודרניות רבות שנועדו לגניבת נתונים או כופר, קמפיין זה מותאם להתפשטות מהירה בקנה מידה גדול - מה שהופך אותו למסוכן במיוחד בהקשרים ארגוניים שבהם שולחן עבודה יחיד שנפרץ יכול לזרוע הדבקות רבות נוספות.

מה זה סורוופוטל

SORVEPOTEL היא משפחת תוכנות זדוניות של Windows המתפשטת מעצמה, הממנפת הנדסה חברתית וגרסת שולחן העבודה/האינטרנט של WhatsApp כדי להפיץ קבצים מצורפים זדוניים לאנשי הקשר ולקבוצות של הקורבן. נראה כי מטרתה העיקרית היא הפצה מהירה וניצול לרעה של החשבון (וכתוצאה מכך ספאם וחסימת חשבונות), ולא חילוץ נתונים או הצפנת קבצים מיידית.

כיצד מפתים קורבנות

התוקפים מתחילים מאיש קשר בוואטסאפ שנפרץ, או במקרים מסוימים, עם כתובת דוא"ל שנראית לגיטימית. ההודעה מכילה קובץ ZIP במסווה של פריט לא מזיק (לדוגמה, קבלה או קובץ אפליקציית בריאות). אם הנמען פותח את קובץ ה-ZIP במחשב שולחני, בדרך כלל מתרחשים השלבים הבאים:

  • הקורבן מוטעה להפעיל קיצור דרך של Windows (LNK) בתוך הארכיון.
  • ה-LNK מפעיל בשקט פקודת PowerShell אשר מורידה את מטען השלב הבא ממארח חיצוני (דוגמה מזוהה היא sorvetenopoate.com).

המטען שאוחזר הוא סקריפט אצווה שמקים עמידות ומבצע פקודות נוספות.

פרטי ביצוע ומנגנוני התמדה

לאחר ההתקנה, סקריפט האצווה מעתיק את עצמו לתיקיית ההפעלה של Windows כך שיפעל אוטומטית לאחר אתחול המערכת. הוא גם מפעיל את PowerShell כדי ליצור קשר עם שרת Command and Control (C2) לקבלת הוראות מעקב או כדי לאחזר רכיבים נוספים. התנהגויות אלה מאפשרות לתוכנה הזדונית להישאר שמורה ולקבל פקודות מרחוק מהמפעילים.

וואטסאפ כמנוע ההפצה

מאפיין מרכזי של SORVEPOTEL הוא שגרת ההפצה המודעת לווטסאפ. אם הנוזקה מזהה ש-WhatsApp Web (לקוח שולחן העבודה/האינטרנט) פעיל במחשב הנגוע, היא מבצעת אוטומציה של הפצת אותו קובץ ZIP זדוני אל:

  • כל אנשי הקשר המקושרים לחשבון שנפרץ, ו
  • כל הקבוצות שהחשבון שייך אליהן.

הפצה אוטומטית זו מייצרת כמות גבוהה מאוד של דואר זבל יוצא, שלעתים קרובות מפעילה את זיהוי השימוש לרעה בוואטסאפ ומוביל להשעיה או חסימה של חשבונות.

היקף ומי נפגע

הקמפיין עד כה מרוכז במידה רבה בברזיל: 457 מתוך 477 הדבקות שתועדו מקורן שם. ארגונים ממוקדים משתרעים על פני מספר מגזרים, בעיקר:

  • שירותים ממשלתיים וציבוריים
  • ייצור
  • טֶכנוֹלוֹגִיָה
  • הַשׂכָּלָה
  • בְּנִיָה

ראוי לציין כי נראה כי המפעילים לא ניצלו גישה שהושגה לגניבת נתונים המונית או לפריסת תוכנות כופר; התוצאה הנצפית הייתה הפצה אגרסיבית וניצול לרעה של חשבונות.

וקטורי התפלגות נוספים שנצפו

למרות שהודעות מבוססות וואטסאפ הן נתיב ההפצה העיקרי, אנליסטים מצאו ראיות לכך שתוקפים מפיצים גם את אותם קבצי ZIP זדוניים באמצעות דואר אלקטרוני, לעיתים תוך שימוש בכתובות שולח לגיטימיות לכאורה כדי להגביר את האמינות.

מדוע קמפיין זה בולט

SORVEPOTEL ממחישה מגמה שבה תוקפים מנצלים פלטפורמות תקשורת מרכזיות כדי להגדיל את טווח ההגעה עם אינטראקציה מינימלית של המשתמש. על ידי שימוש באיש קשר מהימן כנשק ונוחות WhatsApp Web, הנוזקה משיגה התפשטות רוחבית מהירה על פני ארגונים מבלי להזדקק לרכיבים מתוחכמים נגד גניבת נתונים.

הערה מסכמת

SORVEPOTEL הוא תזכורת לכך שפלטפורמות חברתיות הן ערוצי הפצה אטרקטיביים לתוכנות זדוניות. זיהוי מהיר, חינוך משתמשים ובקרות המגבילות את ביצוע הסקריפטים ומנטרות לקוחות העברת הודעות במחשבים שולחניים יצמצמו באופן משמעותי את משטח התקיפה שקמפיין זה מנצל.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
34,321
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...