SORVEPOTEL मैलवेयर

SORVEPOTEL नाम का एक तेज़ी से फैलने वाला मैलवेयर अभियान, विंडोज़ परिवेशों में खुद को फैलाने के लिए लोगों के व्हाट्सएप पर भरोसे का सक्रिय रूप से फायदा उठा रहा है। डेटा चोरी या रैंसमवेयर के लिए बनाए गए कई आधुनिक हमलों के विपरीत, यह अभियान तेज़ी से, बड़े पैमाने पर फैलने के लिए अनुकूलित है — जो इसे एंटरप्राइज़ संदर्भों में विशेष रूप से खतरनाक बनाता है जहाँ एक भी क्षतिग्रस्त डेस्कटॉप कई और संक्रमणों को जन्म दे सकता है।

सोर्वेपोटेल क्या है?

SORVEPOTEL एक स्व-प्रसारित विंडोज़ मैलवेयर परिवार है जो सोशल इंजीनियरिंग और व्हाट्सएप के डेस्कटॉप/वेब संस्करण का उपयोग करके पीड़ित के संपर्कों और समूहों में दुर्भावनापूर्ण अटैचमेंट वितरित करता है। इसका मुख्य उद्देश्य तेज़ी से प्रसार और खाते का दुरुपयोग (जिसके परिणामस्वरूप स्पैम और खाते पर प्रतिबंध लग सकता है) प्रतीत होता है, न कि तत्काल डेटा निष्कासन या फ़ाइल एन्क्रिप्शन।

पीड़ितों को कैसे लुभाया जाता है

हमलावर किसी हैक किए गए व्हाट्सएप कॉन्टैक्ट से या कुछ मामलों में, किसी वैध ईमेल से शुरुआत करते हैं। इस संदेश में एक ज़िप फ़ाइल होती है जो किसी अहानिकर वस्तु (जैसे, रसीद या स्वास्थ्य ऐप फ़ाइल) के रूप में छिपी होती है। यदि प्राप्तकर्ता डेस्कटॉप पर ज़िप फ़ाइल खोलता है, तो आमतौर पर निम्नलिखित चरण होते हैं:

• पीड़ित को धोखे से आर्काइव के अंदर विंडोज शॉर्टकट (LNK) लांच करने के लिए विवश किया जाता है।
• LNK चुपचाप एक PowerShell कमांड चलाता है जो अगले चरण के पेलोड को बाहरी होस्ट से डाउनलोड करता है (एक पहचाना गया उदाहरण sorvetenopoate.com है)।

प्राप्त पेलोड एक बैच स्क्रिप्ट है जो दृढ़ता स्थापित करता है और आगे के आदेशों को निष्पादित करता है।

निष्पादन विवरण और दृढ़ता तंत्र

एक बार इंस्टॉल हो जाने पर, बैच स्क्रिप्ट खुद को विंडोज स्टार्टअप फ़ोल्डर में कॉपी कर लेती है ताकि सिस्टम बूट होने के बाद यह अपने आप चलने लगे। यह अनुवर्ती निर्देशों के लिए या अतिरिक्त घटकों को लाने के लिए कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क करने के लिए PowerShell को भी आमंत्रित करता है। ये व्यवहार मैलवेयर को निवासी बने रहने और ऑपरेटरों से दूरस्थ आदेश स्वीकार करने में सक्षम बनाते हैं।

प्रचार इंजन के रूप में व्हाट्सएप

SORVEPOTEL की एक मुख्य विशेषता इसका WhatsApp-जागरूक प्रसार रूटीन है। अगर मैलवेयर को पता चलता है कि संक्रमित मशीन पर WhatsApp वेब (डेस्कटॉप/वेब क्लाइंट) सक्रिय है, तो यह उसी दुर्भावनापूर्ण ZIP को स्वचालित रूप से वितरित कर देता है:

• समझौता किए गए खाते से जुड़े सभी संपर्क, और
• खाता जिन सभी समूहों से संबंधित है।

यह स्वचालित वितरण बहुत अधिक मात्रा में आउटबाउंड स्पैम उत्पन्न करता है, जो अक्सर व्हाट्सएप के दुरुपयोग का पता लगाने को ट्रिगर करता है और खातों को निलंबित या प्रतिबंधित कर देता है।

दायरा और कौन प्रभावित हुआ है

अब तक यह अभियान मुख्यतः ब्राज़ील में केंद्रित है: दर्ज किए गए 477 में से 457 संक्रमण वहीं से उत्पन्न हुए। लक्षित संगठन कई क्षेत्रों में फैले हुए हैं, जिनमें प्रमुख हैं:

• सरकारी और सार्वजनिक सेवाएँ
• उत्पादन
• तकनीकी
• शिक्षा
• निर्माण

उल्लेखनीय रूप से, ऐसा प्रतीत होता है कि ऑपरेटरों ने बड़े पैमाने पर डेटा चोरी करने या रैनसमवेयर तैनात करने के लिए प्राप्त पहुंच का उपयोग नहीं किया है; इसका प्रत्यक्ष परिणाम आक्रामक प्रचार और खाते का दुरुपयोग रहा है।

अतिरिक्त वितरण सदिश देखे गए

यद्यपि व्हाट्सएप-आधारित संदेश प्राथमिक प्रसार मार्ग हैं, लेकिन विश्लेषकों को इस बात के प्रमाण मिले हैं कि हमलावर ईमेल के माध्यम से भी वही दुर्भावनापूर्ण ज़िप अनुलग्नक वितरित करते हैं, तथा कभी-कभी विश्वसनीयता बढ़ाने के लिए स्पष्ट रूप से वैध प्रेषक पते का उपयोग करते हैं।

यह अभियान क्यों उल्लेखनीय है?

सॉर्वपोटेल एक ऐसे चलन को दर्शाता है जहाँ हमलावर मुख्यधारा के संचार प्लेटफ़ॉर्म का इस्तेमाल करके न्यूनतम उपयोगकर्ता संपर्क के साथ अपनी पहुँच बढ़ा लेते हैं। एक विश्वसनीय संपर्क और व्हाट्सएप वेब की सुविधा का इस्तेमाल करके, मैलवेयर परिष्कृत डेटा-चोरी घटकों की आवश्यकता के बिना, संगठनों में तेज़ी से फैलता है।

समापन नोट

SORVEPOTEL एक अनुस्मारक है कि सोशल प्लेटफ़ॉर्म मैलवेयर के आकर्षक प्रसार चैनल हैं। त्वरित पहचान, उपयोगकर्ता शिक्षा, और स्क्रिप्ट निष्पादन को सीमित करने वाले नियंत्रण और डेस्कटॉप पर मैसेजिंग क्लाइंट की निगरानी से इस अभियान द्वारा शोषण किए जाने वाले हमले की सतह में काफी कमी आएगी।