Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware SORVEPOTEL-malware

SORVEPOTEL-malware

Tegen Mezo in Malware
Vertalen naar:

Een snelgroeiende malwarecampagne genaamd SORVEPOTEL maakt actief misbruik van het vertrouwen dat mensen in WhatsApp stellen om zichzelf te verspreiden in Windows-omgevingen. In tegenstelling tot veel moderne aanvallen die gericht zijn op gegevensdiefstal of ransomware, is deze campagne geoptimaliseerd voor snelle, grootschalige verspreiding. Dit maakt hem bijzonder gevaarlijk in zakelijke contexten, waar één geïnfecteerde desktop kan leiden tot veel meer infecties.

Wat is SORVEPOTEL

SORVEPOTEL is een zichzelf verspreidende Windows-malwarefamilie die gebruikmaakt van social engineering en de desktop-/webversie van WhatsApp om kwaadaardige bijlagen te verspreiden naar de contacten en groepen van een slachtoffer. Het primaire doel lijkt snelle verspreiding en accountmisbruik (resulterend in spam en accountblokkering), niet onmiddellijke data-exfiltratie of bestandsversleuteling.

Hoe slachtoffers worden gelokt

Aanvallers beginnen met een gecompromitteerd WhatsApp-contact of, in sommige gevallen, met een ogenschijnlijk legitiem e-mailadres. Het bericht bevat een ZIP-bestand dat is vermomd als een onschuldig item (bijvoorbeeld een bon of een bestand van een gezondheidsapp). Als de ontvanger het ZIP-bestand op een desktopcomputer opent, volgen doorgaans de volgende stappen:

  • Het slachtoffer wordt ertoe verleid een Windows-snelkoppeling (LNK) in het archief te openen.
  • De LNK voert stilletjes een PowerShell-opdracht uit die de volgende fase-payload downloadt van een externe host (een bekend voorbeeld is sorvetenopoate.com).

De opgehaalde payload is een batch-script dat persistentie instelt en verdere opdrachten uitvoert.

Uitvoeringsdetails en persistentiemechanismen

Na installatie kopieert het batchscript zichzelf naar de opstartmap van Windows, zodat het automatisch wordt uitgevoerd na het opstarten van het systeem. Het roept ook PowerShell aan om contact op te nemen met een Command-and-Control (C2)-server voor vervolginstructies of om extra componenten op te halen. Dit zorgt ervoor dat de malware op afstand actief blijft en opdrachten van de operators kan accepteren.

WhatsApp als voortplantingsmachine

Een kernfunctie van SORVEPOTEL is de WhatsApp-bewuste verspreidingsroutine. Als de malware detecteert dat WhatsApp Web (de desktop-/webclient) actief is op de geïnfecteerde machine, distribueert deze automatisch dezelfde kwaadaardige ZIP naar:

  • Alle contacten die aan het gehackte account zijn gekoppeld, en
  • Alle groepen waartoe het account behoort.

Deze geautomatiseerde verspreiding genereert een zeer groot volume aan uitgaande spam, wat vaak de misbruikdetectie van WhatsApp activeert en leidt tot opschorting of blokkering van accounts.

Omvang en wie is geraakt

De campagne is tot nu toe sterk geconcentreerd in Brazilië: 457 van de 477 geregistreerde besmettingen zijn daar ontstaan. De beoogde organisaties zijn actief in verschillende sectoren, met name:

  • overheid en openbare diensten
  • productie
  • technologie
  • onderwijs
  • bouw

Opvallend is dat de exploitanten de verkregen toegang niet lijken te hebben gebruikt voor grootschalige diefstal van gegevens of voor het implementeren van ransomware. Het waarneembare resultaat was agressieve verspreiding en misbruik van accounts.

Extra waargenomen distributievectoren

Hoewel berichten via WhatsApp de voornaamste verspreidingsroute vormen, hebben analisten bewijs gevonden dat aanvallers dezelfde schadelijke ZIP-bijlagen ook via e-mail verspreiden. Soms gebruiken ze daarbij ogenschijnlijk legitieme afzenderadressen om hun geloofwaardigheid te vergroten.

Waarom deze campagne opmerkelijk is

SORVEPOTEL illustreert een trend waarbij aanvallers gangbare communicatieplatformen misbruiken om het bereik te vergroten met minimale gebruikersinteractie. Door een vertrouwd contact en het gemak van WhatsApp Web te gebruiken als wapen, verspreidt de malware zich snel door organisaties zonder dat er geavanceerde componenten voor gegevensdiefstal nodig zijn.

Slotnoot

SORVEPOTEL herinnert ons eraan dat sociale platforms aantrekkelijke verspreidingskanalen voor malware zijn. Snelle detectie, gebruikersvoorlichting en controles die de uitvoering van scripts beperken en berichtenclients op desktops monitoren, zullen het aanvalsoppervlak dat deze campagne exploiteert aanzienlijk verkleinen.

Trending

Meest bekeken

Bezig met laden...