Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware SORVEPOTEL

Malware SORVEPOTEL

Por Mezo em Malware
Traduzir Para:

Uma campanha de malware de rápida disseminação, chamada SORVEPOTEL, está explorando ativamente a confiança que as pessoas depositam no WhatsApp para se propagar em ambientes Windows. Ao contrário de muitos ataques modernos criados para roubo de dados ou ransomware, esta campanha é otimizada para disseminação rápida e em larga escala — o que a torna particularmente perigosa em contextos corporativos, onde um único desktop comprometido pode gerar muito mais infecções.

O que é SORVEPOTEL

SORVEPOTEL é uma família de malware autopropagante para Windows que utiliza engenharia social e a versão desktop/web do WhatsApp para distribuir anexos maliciosos aos contatos e grupos da vítima. Seu objetivo principal parece ser a rápida disseminação e o abuso de contas (resultando em spam e banimentos de contas), e não a exfiltração imediata de dados ou a criptografia de arquivos.

Como as vítimas são atraídas

Os invasores partem de um contato comprometido do WhatsApp ou, em alguns casos, de um e-mail aparentemente legítimo. A mensagem contém um arquivo ZIP disfarçado de um item inofensivo (por exemplo, um recibo ou um arquivo de aplicativo de saúde). Se o destinatário abrir o ZIP em um computador, as seguintes etapas geralmente ocorrem:

  • A vítima é enganada e inicia um atalho do Windows (LNK) dentro do arquivo.
  • O LNK executa silenciosamente um comando do PowerShell que baixa a carga útil do próximo estágio de um host externo (um exemplo identificado é sorvetenopoate.com).

A carga recuperada é um script em lote que estabelece persistência e executa outros comandos.

Detalhes de execução e mecanismos de persistência

Uma vez instalado, o script em lote se copia para a pasta de Inicialização do Windows para ser executado automaticamente após a inicialização do sistema. Ele também invoca o PowerShell para contatar um servidor de Comando e Controle (C2) para obter instruções de acompanhamento ou para buscar componentes adicionais. Esses comportamentos permitem que o malware permaneça residente e aceite comandos remotos dos operadores.

WhatsApp como motor de propagação

Um recurso essencial do SORVEPOTEL é sua rotina de disseminação com reconhecimento do WhatsApp. Se o malware detectar que o WhatsApp Web (o cliente desktop/web) está ativo na máquina infectada, ele automatiza a distribuição do mesmo ZIP malicioso para:

  • Todos os contatos vinculados à conta comprometida e
  • Todos os grupos aos quais a conta pertence.

Essa distribuição automatizada produz um volume muito alto de spam de saída, o que geralmente aciona a detecção de abuso do WhatsApp e leva à suspensão ou banimento de contas.

Escopo e quem foi atingido

A campanha até o momento está fortemente concentrada no Brasil: 457 das 477 infecções registradas tiveram origem lá. As organizações visadas abrangem diversos setores, principalmente:

  • governo e serviços públicos
  • fabricação
  • tecnologia
  • educação
  • construção

Notavelmente, os operadores não parecem ter usado o acesso obtido para roubo em massa de dados ou para implantar ransomware; o resultado observável foi propagação agressiva e abuso de contas.

Vetores de distribuição adicionais observados

Embora as mensagens do WhatsApp sejam a principal rota de propagação, analistas encontraram evidências de que os invasores também distribuem os mesmos anexos ZIP maliciosos por e-mail, às vezes usando endereços de remetentes aparentemente legítimos para aumentar a credibilidade.

Por que esta campanha é notável

O SORVEPOTEL ilustra uma tendência em que invasores exploram plataformas de comunicação tradicionais para multiplicar o alcance com o mínimo de interação do usuário. Ao utilizar um contato confiável e a conveniência do WhatsApp Web como arma, o malware consegue se propagar lateralmente rapidamente entre organizações sem a necessidade de componentes sofisticados de roubo de dados.

Nota de Encerramento

O SORVEPOTEL é um lembrete de que as plataformas sociais são canais de propagação atraentes para malware. Detecção rápida, educação do usuário e controles que limitam a execução de scripts e monitoram clientes de mensagens em desktops reduzirão significativamente a superfície de ataque explorada por esta campanha.

Tendendo

Mais visto

Carregando...