Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe SORVEPOTEL

Oprogramowanie złośliwe SORVEPOTEL

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Szybko rozprzestrzeniająca się kampania złośliwego oprogramowania o nazwie SORVEPOTEL aktywnie wykorzystuje zaufanie użytkowników do WhatsApp, aby rozprzestrzeniać się w środowiskach Windows. W przeciwieństwie do wielu współczesnych ataków mających na celu kradzież danych lub ransomware, ta kampania jest zoptymalizowana pod kątem szybkiego rozprzestrzeniania się na dużą skalę – co czyni ją szczególnie niebezpieczną w kontekście korporacyjnym, gdzie jeden zainfekowany komputer może rozprzestrzenić wiele kolejnych infekcji.

Co to jest SORVEPOTEL

SORVEPOTEL to rodzina samonapędzającego się złośliwego oprogramowania dla systemu Windows, która wykorzystuje socjotechnikę i wersję WhatsApp na komputery stacjonarne i przeglądarkę internetową do rozsyłania złośliwych załączników do kontaktów i grup ofiary. Jej głównym celem wydaje się być szybkie rozprzestrzenianie i nadużywanie kont (skutkujące spamem i blokadami kont), a nie natychmiastowe wykradanie danych lub szyfrowanie plików.

Jak zwabia się ofiary

Atakujący zaczynają od przejętego kontaktu WhatsApp lub, w niektórych przypadkach, od pozornie legalnego e-maila. Wiadomość zawiera plik ZIP podszywający się pod nieszkodliwy element (na przykład paragon lub plik aplikacji zdrowotnej). Jeśli odbiorca otworzy plik ZIP na komputerze, zazwyczaj wykonywane są następujące kroki:

  • Ofiara zostaje oszukana i uruchamia skrót systemu Windows (LNK) znajdujący się w archiwum.
  • LNK w trybie cichym uruchamia polecenie programu PowerShell, które pobiera ładunek kolejnego etapu z zewnętrznego hosta (zidentyfikowanym przykładem jest sorvetenopoate.com).

Pobrany ładunek to skrypt wsadowy, który ustanawia trwałość i wykonuje dalsze polecenia.

Szczegóły wykonania i mechanizmy trwałości

Po zainstalowaniu skrypt wsadowy kopiuje się do folderu Autostart systemu Windows, aby uruchomić się automatycznie po uruchomieniu systemu. Wywołuje również program PowerShell w celu nawiązania połączenia z serwerem poleceń i kontroli (C2) w celu uzyskania dalszych instrukcji lub pobrania dodatkowych komponentów. Takie działania pozwalają złośliwemu oprogramowaniu pozostać w systemie i akceptować polecenia zdalne od operatorów.

WhatsApp jako silnik propagacji

Kluczową cechą SORVEPOTEL jest jego procedura rozprzestrzeniania się z uwzględnieniem WhatsApp. Jeśli złośliwe oprogramowanie wykryje, że WhatsApp Web (klient desktopowy/webowy) jest aktywny na zainfekowanym komputerze, automatycznie dystrybuuje ten sam złośliwy plik ZIP do:

  • Wszystkie kontakty powiązane z zagrożonym kontem oraz
  • Wszystkie grupy, do których należy konto.

Tego typu zautomatyzowana dystrybucja generuje bardzo dużą ilość spamu, który często uruchamia mechanizm wykrywania nadużyć w WhatsApp i prowadzi do zawieszenia lub zablokowania kont.

Zakres i kto został trafiony

Kampania jak dotąd koncentruje się głównie w Brazylii: 457 z 477 zarejestrowanych zakażeń pochodzi właśnie stamtąd. Organizacje, których celem jest atak, reprezentują kilka sektorów, w tym:

  • rząd i służby publiczne
  • produkcja
  • technologia
  • edukacja
  • budowa

Co godne uwagi, operatorzy nie wykorzystali uzyskanego dostępu do masowej kradzieży danych ani do wdrażania oprogramowania wymuszającego okup; obserwowanym skutkiem była agresywna propagacja i nadużywanie kont.

Dodatkowe obserwowane wektory dystrybucji

Chociaż wiadomości wysyłane za pośrednictwem WhatsApp stanowią główną drogę rozprzestrzeniania się wirusa, analitycy znaleźli dowody na to, że atakujący rozpowszechniają te same złośliwe załączniki ZIP również za pośrednictwem poczty e-mail, czasami wykorzystując pozornie prawidłowe adresy nadawcy, aby zwiększyć wiarygodność.

Dlaczego ta kampania jest godna uwagi

SORVEPOTEL ilustruje trend, w którym atakujący wykorzystują popularne platformy komunikacyjne do zwielokrotnienia zasięgu przy minimalnej interakcji użytkownika. Wykorzystując zaufany kontakt i wygodę WhatsApp Web, złośliwe oprogramowanie osiąga szybką, poziomą propagację w organizacjach bez konieczności stosowania zaawansowanych narzędzi do kradzieży danych.

Uwaga końcowa

SORVEPOTEL przypomina, że platformy społecznościowe stanowią atrakcyjne kanały rozprzestrzeniania się złośliwego oprogramowania. Szybkie wykrywanie, edukacja użytkowników oraz mechanizmy kontroli ograniczające wykonywanie skryptów i monitorujące klientów komunikatorów na komputerach stacjonarnych znacząco ograniczą powierzchnię ataku, na którą narażona jest ta kampania.

Popularne

Najczęściej oglądane

Ładowanie...