Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware SORVEPOTEL kártevő

SORVEPOTEL kártevő

Mezo -ra Malware-ben
Fordítás ide:

Egy gyorsan terjedő, SORVEPOTEL nevű kártevőkampány aktívan kihasználja a WhatsAppba vetett bizalmat, hogy Windows-környezetekben is elterjedjen. Sok modern, adatlopásra vagy zsarolóvírusokra irányuló támadással ellentétben ez a kampány gyors, nagymértékű terjedésre van optimalizálva – ami különösen veszélyessé teszi vállalati környezetben, ahol egyetlen feltört asztali számítógép sokkal több fertőzés forrása lehet.

Mi az a SORVEPOTEL?

A SORVEPOTEL egy önmagát terjedő Windows kártevőcsalád, amely a társadalmi manipulációt és a WhatsApp asztali/webes verzióját használja ki, hogy rosszindulatú mellékleteket juttasson el az áldozat ismerőseihez és csoportjaihoz. Elsődleges célja a gyors terjesztés és a fiókokkal való visszaélés (ami spamhez és fiókok kitiltásához vezet), nem pedig az azonnali adatlopás vagy fájltitkosítás.

Hogyan csábítják el az áldozatokat

A támadók egy feltört WhatsApp-kapcsolatból, vagy bizonyos esetekben egy látszólag legitim e-mailből indulnak ki. Az üzenet egy ártalmatlan elemnek álcázott ZIP-fájlt tartalmaz (például nyugtát vagy egészségügyi alkalmazásfájlt). Ha a címzett asztali számítógépen nyitja meg a ZIP-fájlt, általában a következő lépések történnek:

  • Az áldozatot ráveszik, hogy indítson el egy Windows parancsikont (LNK) az archívumon belül.
  • Az LNK csendben futtat egy PowerShell-parancsot, amely letölti a következő szakasz hasznos adatait egy külső gazdagépről (egy azonosított példa a sorvetenopoate.com).

A lekért hasznos adat egy kötegelt szkript, amely létrehozza a perzisztenciát és további parancsokat hajt végre.

Végrehajtási részletek és fennmaradási mechanizmusok

A telepítés után a kötegelt szkript bemásolja magát a Windows Indítópult mappájába, így automatikusan elindul a rendszerindítás után. Emellett meghívja a PowerShellt, hogy kapcsolatba lépjen egy Command-and-Control (C2) szerverrel a további utasításokért vagy további összetevők lekéréséhez. Ezek a viselkedések lehetővé teszik, hogy a rosszindulatú program rezidens maradjon, és távoli parancsokat fogadjon az operátoroktól.

A WhatsApp, mint a terjedési motor

A SORVEPOTEL egyik alapvető jellemzője a WhatsApp-tudatos terjesztési rutinja. Ha a rosszindulatú program azt észleli, hogy a WhatsApp Web (az asztali/webes kliens) aktív a fertőzött gépen, automatizálja ugyanazon rosszindulatú ZIP fájl terjesztését a következőkre:

  • A feltört fiókhoz kapcsolódó összes kapcsolattartó, és
  • Minden csoport, amelyhez a fiók tartozik.

Ez az automatikus terjesztés nagyon nagy mennyiségű kimenő spamet eredményez, ami gyakran aktiválja a WhatsApp visszaélés-észlelő rendszerét, és felfüggesztett vagy letiltott fiókokhoz vezet.

Hatókör és kit sújtottak

A kampány eddig erősen Brazíliára koncentrálódott: a 477 regisztrált fertőzésből 457 onnan származott. A célzott szervezetek több ágazatot ölelnek fel, nevezetesen:

  • kormányzati és közszolgáltatások
  • gyártás
  • technológia
  • oktatás
  • építés

Figyelemre méltó, hogy a szolgáltatók nem tömeges adatlopásra vagy zsarolóvírusok telepítésére használták fel a megszerzett hozzáférést; a megfigyelhető eredmény az agresszív terjesztés és a fiókokkal való visszaélés volt.

További megfigyelt eloszlási vektorok

Bár a WhatsApp-alapú üzenetek jelentik az elsődleges terjedési útvonalat, az elemzők bizonyítékokat találtak arra, hogy a támadók ugyanazokat a rosszindulatú ZIP-mellékleteket e-mailben is terjesztik, néha látszólag legitim feladói címeket használva a hitelesség növelése érdekében.

Miért figyelemre méltó ez a kampány?

A SORVEPOTEL egy olyan trendet illusztrál, ahol a támadók a mainstream kommunikációs platformokat használják ki a megnövekedett elérés érdekében minimális felhasználói interakcióval. Egy megbízható kapcsolat és a WhatsApp Web kényelmének fegyverként való felhasználásával a rosszindulatú program gyors laterális terjedést ér el a szervezetek között kifinomult adatlopási komponensek nélkül.

Záró megjegyzés

A SORVEPOTEL kampány emlékeztetőül szolgál arra, hogy a közösségi platformok vonzó terjedési csatornák a rosszindulatú programok számára. A gyors észlelés, a felhasználók oktatása, valamint a szkriptek végrehajtását korlátozó és az asztali számítógépeken futó üzenetküldő klienseket figyelő vezérlők jelentősen csökkenteni fogják a kampány által kihasznált támadási felületet.

Felkapott

Legnézettebb

Betöltés...