Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware SORVEPOTEL

Programe malware SORVEPOTEL

Până în Mezo în Programe malware
Tradu in:

O campanie de malware cu evoluție rapidă, numită SORVEPOTEL, exploatează activ încrederea pe care oamenii o au în WhatsApp pentru a se propaga în mediile Windows. Spre deosebire de multe atacuri moderne concepute pentru furtul de date sau ransomware, această campanie este optimizată pentru răspândire rapidă și la scară largă - ceea ce o face deosebit de periculoasă în contexte de întreprinderi, unde un singur desktop compromis poate genera mult mai multe infecții.

Ce este SORVEPOTEL

SORVEPOTEL este o familie de programe malware auto-propagate pentru Windows, care utilizează ingineria socială și versiunea desktop/web a WhatsApp pentru a distribui atașamente rău intenționate contactelor și grupurilor victimei. Obiectivul său principal pare a fi diseminarea rapidă și abuzul de cont (ducând la spam și blocarea contului), nu exfiltrarea imediată a datelor sau criptarea fișierelor.

Cum sunt ademenite victimele

Atacatorii pornesc de la un contact WhatsApp compromis sau, în unele cazuri, de la un e-mail aparent legitim. Mesajul conține un fișier ZIP deghizat într-un element inofensiv (de exemplu, o chitanță sau un fișier al aplicației de sănătate). Dacă destinatarul deschide fișierul ZIP pe un desktop, de obicei au loc următorii pași:

  • Victima este păcălită să lanseze o comandă rapidă Windows (LNK) în interiorul arhivei.
  • LNK rulează silențios o comandă PowerShell care descarcă sarcina utilă din etapa următoare de pe o gazdă externă (un exemplu identificat este sorvetenopoate.com).

Sarcina utilă recuperată este un script batch care stabilește persistența și execută comenzi suplimentare.

Detalii de execuție și mecanisme de persistență

Odată instalat, scriptul batch se copiază în folderul Startup Windows, astfel încât să ruleze automat după pornirea sistemului. De asemenea, invocă PowerShell pentru a contacta un server Command-and-Control (C2) pentru instrucțiuni ulterioare sau pentru a prelua componente suplimentare. Aceste comportamente permit malware-ului să rămână rezident și să accepte comenzi la distanță de la operatori.

WhatsApp ca motor de propagare

O caracteristică principală a SORVEPOTEL este rutina sa de răspândire compatibilă cu WhatsApp. Dacă malware-ul detectează că WhatsApp Web (clientul desktop/web) este activ pe mașina infectată, automatizează distribuirea aceluiași fișier ZIP rău intenționat către:

  • Toate contactele conectate la contul compromis și
  • Toate grupurile cărora le aparține contul.

Această distribuție automată produce un volum foarte mare de spam trimis, care declanșează adesea detectarea abuzurilor de către WhatsApp și duce la suspendarea sau interzicerea conturilor.

Domeniul de aplicare și cine a fost lovit

Campania de până acum este concentrată în mare măsură în Brazilia: 457 din 477 de infecții înregistrate au provenit de acolo. Organizațiile vizate acoperă mai multe sectoare, în special:

  • guvern și servicii publice
  • producție
  • tehnologie
  • educaţie
  • construcție

În mod special, operatorii nu par să fi folosit accesul obținut pentru furtul masiv de date sau pentru a implementa ransomware; rezultatul observabil a fost propagarea agresivă și abuzul de conturi.

Vectori de distribuție suplimentari observați

Deși mesajele bazate pe WhatsApp reprezintă principala rută de propagare, analiștii au găsit dovezi că atacatorii distribuie aceleași atașamente ZIP rău intenționate și prin e-mail, folosind uneori adrese de expeditor aparent legitime pentru a crește credibilitatea.

De ce este remarcabilă această campanie

SORVEPOTEL ilustrează o tendință în care atacatorii exploatează platformele de comunicare tradiționale pentru a-și multiplica acoperirea cu o interacțiune minimă cu utilizatorul. Prin utilizarea unui contact de încredere și a confortului oferit de WhatsApp Web, malware-ul realizează o propagare laterală rapidă în cadrul organizațiilor, fără a fi nevoie de componente sofisticate pentru furtul de date.

Notă de încheiere

SORVEPOTEL ne reamintește că platformele sociale sunt canale atractive de propagare pentru programe malware. Detectarea rapidă, educarea utilizatorilor și controalele care limitează execuția scripturilor și monitorizează clienții de mesagerie pe desktopuri vor reduce semnificativ suprafața de atac exploatată de această campanie.

Trending

Cele mai văzute

Se încarcă...