SORVEPOTEL 악성코드
SORVEPOTEL이라는 이름의 빠르게 확산되는 악성코드 캠페인이 WhatsApp에 대한 사람들의 신뢰를 악용하여 Windows 환경 전반에 걸쳐 확산되고 있습니다. 데이터 유출이나 랜섬웨어를 노리는 많은 최신 공격과는 달리, 이 캠페인은 빠르고 대규모로 확산되도록 최적화되어 있습니다. 따라서 단 하나의 데스크톱만 감염되어도 더 많은 감염을 일으킬 수 있는 기업 환경에서 특히 위험합니다.
목차
SORVEPOTEL이란 무엇입니까?
SORVEPOTEL은 소셜 엔지니어링과 WhatsApp 데스크톱/웹 버전을 활용하여 피해자의 연락처와 그룹에 악성 첨부 파일을 배포하는 자가 증식형 Windows 악성코드군입니다. 주요 목적은 즉각적인 데이터 유출이나 파일 암호화가 아닌, 빠른 확산 및 계정 악용(스팸 및 계정 정지로 이어짐)인 것으로 보입니다.
피해자들이 유인되는 방식
공격자는 침해된 WhatsApp 연락처, 또는 경우에 따라 합법적인 것처럼 보이는 이메일에서 공격을 시작합니다. 해당 메시지에는 무해한 항목(예: 영수증이나 건강 앱 파일)으로 위장한 ZIP 파일이 포함되어 있습니다. 수신자가 데스크톱에서 ZIP 파일을 열면 일반적으로 다음 단계가 발생합니다.
- 피해자는 아카이브 내부의 Windows 바로 가기(LNK)를 실행하도록 속습니다.
- LNK는 외부 호스트에서 다음 단계 페이로드를 다운로드하는 PowerShell 명령을 자동으로 실행합니다(식별된 예는 sorvetenopoate.com입니다).
검색된 페이로드는 지속성을 확립하고 추가 명령을 실행하는 일괄 스크립트입니다.
실행 세부 정보 및 지속성 메커니즘
설치가 완료되면 배치 스크립트가 Windows 시작 폴더에 자동으로 복사되어 시스템 부팅 후 자동으로 실행됩니다. 또한 PowerShell을 호출하여 명령 및 제어(C2) 서버에 연결하여 후속 지침을 요청하거나 추가 구성 요소를 가져옵니다. 이러한 동작을 통해 맬웨어는 상주 상태를 유지하면서 운영자의 원격 명령을 수신할 수 있습니다.
전파 엔진으로서의 WhatsApp
SORVEPOTEL의 핵심 기능은 WhatsApp을 인식하는 확산 루틴입니다. 악성코드가 감염된 컴퓨터에서 WhatsApp 웹(데스크톱/웹 클라이언트)이 활성화되어 있음을 감지하면, 동일한 악성 ZIP 파일을 다음 위치에 자동으로 배포합니다.
- 침해된 계정에 연결된 모든 연락처 및
- 계정이 속한 모든 그룹입니다.
이러한 자동화된 배포로 인해 대량의 아웃바운드 스팸이 생성되는데, 이로 인해 WhatsApp의 남용 감지가 발생하고 계정이 정지되거나 금지되는 경우가 많습니다.
범위와 누가 타격을 입었는가
현재까지 이 캠페인은 브라질에 집중되어 있습니다. 기록된 감염 사례 477건 중 457건이 브라질에서 발생했습니다. 표적 조직은 여러 분야에 걸쳐 있으며, 특히 다음과 같습니다.
- 정부 및 공공 서비스
- 조작
- 기술
- 교육
- 건설
주목할 점은 운영자가 획득한 접근 권한을 대량 데이터 도난이나 랜섬웨어 배포에 사용하지 않은 것으로 보인다는 것입니다. 관찰 가능한 결과는 공격적인 확산과 계정 남용이었습니다.
추가 분포 벡터 관찰됨
WhatsApp 기반 메시지가 주요 전파 경로이기는 하지만, 분석가들은 공격자가 이메일을 통해서도 동일한 악성 ZIP 첨부 파일을 배포한다는 증거를 발견했으며, 때로는 신뢰성을 높이기 위해 겉보기에 합법적인 발신자 주소를 사용하기도 한다는 사실을 알아냈습니다.
이 캠페인이 주목할 만한 이유
SORVEPOTEL은 공격자가 주류 통신 플랫폼을 악용하여 최소한의 사용자 상호작용으로 공격 범위를 확대하는 추세를 보여줍니다. 신뢰할 수 있는 연락처와 WhatsApp 웹의 편의성을 무기로 삼아, 이 악성코드는 정교한 데이터 유출 구성 요소 없이도 조직 전체에 빠르게 확산됩니다.
마무리 노트
SORVEPOTEL은 소셜 플랫폼이 악성코드의 매력적인 확산 경로임을 다시 한번 일깨워줍니다. 신속한 탐지, 사용자 교육, 그리고 스크립트 실행을 제한하고 데스크톱에서 메시징 클라이언트를 모니터링하는 제어 기능을 통해 이 캠페인이 악용하는 공격 표면을 크게 줄일 수 있습니다.
