Preventivo sconto multi-licenza
Database delle minacce Malware Malware SORVEPOTEL

Malware SORVEPOTEL

Entro Mezo nel Malware
Traduci in:

Una campagna malware in rapida evoluzione chiamata SORVEPOTEL sta sfruttando attivamente la fiducia che gli utenti ripongono in WhatsApp per propagarsi negli ambienti Windows. A differenza di molti attacchi moderni concepiti per il furto di dati o il ransomware, questa campagna è ottimizzata per una diffusione rapida e su larga scala, il che la rende particolarmente pericolosa in contesti aziendali, dove un singolo desktop compromesso può diffondere molte più infezioni.

Che cosa è SORVEPOTEL

SORVEPOTEL è una famiglia di malware per Windows che si auto-propaga e sfrutta l'ingegneria sociale e la versione desktop/web di WhatsApp per distribuire allegati dannosi ai contatti e ai gruppi della vittima. Il suo obiettivo principale sembra essere la rapida diffusione e l'abuso dell'account (con conseguente spam e ban dell'account), non l'esfiltrazione immediata dei dati o la crittografia dei file.

Come vengono attirate le vittime

Gli aggressori partono da un contatto WhatsApp compromesso o, in alcuni casi, da un'e-mail apparentemente legittima. Il messaggio contiene un file ZIP camuffato da elemento innocuo (ad esempio, una ricevuta o un file di un'app per la salute). Se il destinatario apre il file ZIP su un computer desktop, in genere si verificano i seguenti passaggi:

  • La vittima viene indotta con l'inganno ad avviare un collegamento di Windows (LNK) all'interno dell'archivio.
  • LNK esegue silenziosamente un comando PowerShell che scarica il payload della fase successiva da un host esterno (un esempio identificato è sorvetenopoate.com).

Il payload recuperato è uno script batch che stabilisce la persistenza ed esegue ulteriori comandi.

Dettagli di esecuzione e meccanismi di persistenza

Una volta installato, lo script batch si copia nella cartella di avvio di Windows, in modo da essere eseguito automaticamente dopo l'avvio del sistema. Inoltre, richiama PowerShell per contattare un server di comando e controllo (C2) per istruzioni di follow-up o per recuperare componenti aggiuntivi. Questi comportamenti consentono al malware di rimanere residente e di accettare comandi remoti dagli operatori.

WhatsApp come motore di propagazione

Una caratteristica fondamentale di SORVEPOTEL è la sua routine di diffusione basata su WhatsApp. Se il malware rileva che WhatsApp Web (il client desktop/web) è attivo sul computer infetto, automatizza la distribuzione dello stesso ZIP dannoso a:

  • Tutti i contatti collegati all'account compromesso e
  • Tutti i gruppi a cui appartiene l'account.

Questa distribuzione automatizzata produce un volume molto elevato di spam in uscita, che spesso attiva il rilevamento di abusi da parte di WhatsApp e porta alla sospensione o al ban degli account.

Ambito e chi è stato colpito

Finora la campagna si è concentrata principalmente in Brasile: 457 dei 477 contagi registrati hanno avuto origine lì. Le organizzazioni prese di mira appartengono a diversi settori, in particolare:

  • governo e servizi pubblici
  • produzione
  • tecnologia
  • istruzione
  • costruzione

In particolare, gli operatori non sembrano aver utilizzato l'accesso ottenuto per furti di dati di massa o per distribuire ransomware; il risultato osservabile è stata una propagazione aggressiva e un abuso di account.

Ulteriori vettori di distribuzione osservati

Sebbene i messaggi basati su WhatsApp siano la principale via di propagazione, gli analisti hanno trovato prove che gli aggressori distribuiscono gli stessi allegati ZIP dannosi anche tramite e-mail, a volte utilizzando indirizzi di mittenti apparentemente legittimi per aumentare la credibilità.

Perché questa campagna è degna di nota

SORVEPOTEL illustra una tendenza in cui gli aggressori sfruttano le principali piattaforme di comunicazione per moltiplicare la portata con un'interazione minima da parte dell'utente. Sfruttando un contatto fidato e la praticità di WhatsApp Web, il malware si propaga rapidamente tra le organizzazioni senza dover ricorrere a sofisticati componenti per il furto di dati.

Nota di chiusura

SORVEPOTEL ci ricorda che le piattaforme social rappresentano canali di propagazione molto interessanti per il malware. Rilevamento rapido, formazione degli utenti e controlli che limitano l'esecuzione degli script e monitorano i client di messaggistica sui desktop ridurranno significativamente la superficie di attacco sfruttata da questa campagna.

Tendenza

I più visti

Caricamento in corso...