SORVEPOTEL ļaunprogrammatūra
Strauji izplatīga ļaunprogrammatūras kampaņa ar nosaukumu SORVEPOTEL aktīvi izmanto cilvēku uzticību WhatsApp, lai izplatītos Windows vidēs. Atšķirībā no daudziem mūsdienu uzbrukumiem, kas izstrādāti datu zādzībām vai izspiedējvīrusiem, šī kampaņa ir optimizēta ātrai, plaša mēroga izplatībai, kas to padara īpaši bīstamu uzņēmumu vidē, kur viens apdraudēts galddators var izraisīt daudz vairāk infekciju.
Satura rādītājs
Kas ir SORVEPOTEL?
SORVEPOTEL ir pašizplatoša Windows ļaunprogrammatūru saime, kas izmanto sociālo inženieriju un WhatsApp datora/tīmekļa versiju, lai izplatītu ļaunprātīgus pielikumus upura kontaktpersonām un grupām. Šķiet, ka tās galvenais mērķis ir ātra izplatīšana un kontu ļaunprātīga izmantošana (kā rezultātā rodas surogātpasts un kontu bloķēšana), nevis tūlītēja datu noplūde vai failu šifrēšana.
Kā upuri tiek pievilināti
Uzbrucēji sāk ar apdraudētu WhatsApp kontaktpersonu vai dažos gadījumos ar šķietami likumīgu e-pastu. Ziņojumā ir ZIP fails, kas maskēts kā nekaitīgs priekšmets (piemēram, kvīts vai veselības lietotnes fails). Ja saņēmējs atver ZIP failu datorā, parasti notiek šādas darbības:
- Upuris tiek apmānīts, lai arhīvā palaistu Windows saīsni (LNK).
- LNK klusībā palaiž PowerShell komandu, kas lejupielādē nākamā posma vērtumu no ārēja resursdatora (identificēts piemērs ir sorvetenopoate.com).
Iegūtā lietderīgā slodze ir partijas skripts, kas nodrošina noturību un izpilda turpmākās komandas.
Izpildes detaļas un noturības mehānismi
Pēc instalēšanas pakešskripts tiek kopēts Windows startēšanas mapē, lai tas darbotos automātiski pēc sistēmas palaišanas. Tas arī izsauc PowerShell, lai sazinātos ar Command-and-Control (C2) serveri, lai saņemtu turpmākus norādījumus vai ielādētu papildu komponentus. Šāda uzvedība ļauj ļaunprogrammatūrai palikt rezidentai un pieņemt attālinātas komandas no operatoriem.
WhatsApp kā izplatīšanas dzinējspēks
SORVEPOTEL galvenā iezīme ir tās WhatsApp apzinošā izplatīšanas rutīna. Ja ļaunprogrammatūra konstatē, ka inficētajā ierīcē ir aktīvs WhatsApp Web (darbvirsmas/tīmekļa klients), tā automatizē tā paša ļaunprātīgā ZIP faila izplatīšanu uz:
- Visas kontaktpersonas, kas saistītas ar apdraudēto kontu, un
- Visas grupas, kurām pieder konts.
Šī automatizētā izplatīšana rada ļoti lielu izejošā surogātpasta apjomu, kas bieži vien aktivizē WhatsApp ļaunprātīgas izmantošanas atklāšanu un noved pie kontu apturēšanas vai bloķēšanas.
Darbības joma un kurš ir cietis
Līdz šim kampaņa galvenokārt ir koncentrēta Brazīlijā: 457 no 477 reģistrētajiem inficēšanās gadījumiem ir radušies tur. Mērķa organizācijas aptver vairākas nozares, jo īpaši:
- valdības un sabiedrisko pakalpojumu
- ražošana
- tehnoloģija
- izglītība
- būvniecība
Jāatzīmē, ka operatori, šķiet, nav izmantojuši iegūto piekļuvi masveida datu zādzībām vai izspiedējvīrusu izvietošanai; novērojamais rezultāts ir bijusi agresīva izplatīšana un kontu ļaunprātīga izmantošana.
Papildu novērotie izplatības vektori
Lai gan galvenais izplatīšanās ceļš ir WhatsApp ziņojumi, analītiķi ir atraduši pierādījumus, ka uzbrucēji izplata tos pašus ļaunprātīgos ZIP pielikumus arī pa e-pastu, dažreiz izmantojot šķietami likumīgas sūtītāju adreses, lai palielinātu ticamību.
Kāpēc šī kampaņa ir ievērojama
SORVEPOTEL ilustrē tendenci, kur uzbrucēji izmanto populāras saziņas platformas, lai ar minimālu lietotāja mijiedarbību palielinātu sasniedzamību. Izmantojot uzticamu kontaktpersonu un WhatsApp Web ērtības kā ieroci, ļaunprogrammatūra panāk ātru laterālu izplatīšanos starp organizācijām, neizmantojot sarežģītus datu zādzības komponentus.
Noslēguma piezīme
SORVEPOTEL atgādina, ka sociālās platformas ir pievilcīgi ļaunprogrammatūras izplatīšanas kanāli. Ātra atklāšana, lietotāju izglītošana un kontrole, kas ierobežo skriptu izpildi un uzrauga ziņojumapmaiņas klientus galddatoros, būtiski samazinās uzbrukuma virsmu, ko šī kampaņa izmanto.
