Škodlivý softvér SORVEPOTEL

Rýchlo sa šíriaca kampaň škodlivého softvéru s názvom SORVEPOTEL aktívne zneužíva dôveru, ktorú ľudia vkladajú do WhatsAppu, na šírenie v prostrediach Windows. Na rozdiel od mnohých moderných útokov vytvorených na krádež údajov alebo ransomvéru je táto kampaň optimalizovaná na rýchle a rozsiahle šírenie – čo ju robí obzvlášť nebezpečnou v podnikových prostrediach, kde jedna napadnutá pracovná plocha môže šíriť oveľa viac infekcií.

Čo je SORVEPOTEL

SORVEPOTEL je samovoľne sa šíriaca rodina malvéru pre systém Windows, ktorá využíva sociálne inžinierstvo a desktopovú/webovú verziu WhatsApp na distribúciu škodlivých príloh kontaktom a skupinám obete. Jeho primárnym cieľom je zrejme rýchle šírenie a zneužitie účtov (čo vedie k spamu a zablokovaniu účtov), nie okamžité vykradnutie údajov alebo šifrovanie súborov.

Ako sú obete lákané

Útočníci začínajú s kompromitovaným kontaktom v aplikácii WhatsApp alebo v niektorých prípadoch so zdanlivo legitímnym e-mailom. Správa obsahuje súbor ZIP maskovaný ako neškodná položka (napríklad potvrdenka alebo súbor zdravotnej aplikácie). Ak príjemca otvorí súbor ZIP na počítači, zvyčajne sa vyskytnú nasledujúce kroky:

• Obeť je oklamaná a spustí skratku systému Windows (LNK) v archíve.
• LNK ticho spustí príkaz PowerShell, ktorý stiahne dáta nasledujúcej fázy z externého hostiteľa (identifikovaný príklad je sorvetenopoate.com).

Získané užitočné zaťaženie je dávkový skript, ktorý nadväzuje na perzistenciu a vykonáva ďalšie príkazy.

Detaily vykonávania a mechanizmy perzistencie

Po nainštalovaní sa dávkový skript skopíruje do priečinka Po spustení systému Windows, takže sa po zavedení systému automaticky spustí. Taktiež spustí PowerShell na kontaktovanie servera Command-and-Control (C2) a získanie ďalších pokynov alebo na načítanie ďalších komponentov. Vďaka tomuto správaniu môže malvér zostať na mieste a prijímať vzdialené príkazy od operátorov.

WhatsApp ako šíriaci motor

Hlavnou funkciou malvéru SORVEPOTEL je jeho šírenie s ohľadom na WhatsApp. Ak malvér zistí, že WhatsApp Web (desktopový/webový klient) je na infikovanom počítači aktívny, automatizuje distribúciu toho istého škodlivého ZIP súboru do:

• Všetky kontakty prepojené s napadnutým účtom a
• Všetky skupiny, do ktorých účet patrí.

Táto automatizovaná distribúcia produkuje veľmi vysoký objem odchádzajúceho spamu, ktorý často spúšťa detekciu zneužitia vo WhatsAppe a vedie k pozastaveniu alebo zablokovaniu účtov.

Rozsah a kto bol zasiahnutý

Kampaň je zatiaľ silne sústredená v Brazílii: 457 zo 477 zaznamenaných infekcií pochádza odtiaľ. Cieľové organizácie pokrývajú niekoľko sektorov, najmä:

• vládne a verejné služby
• výroba
• technológia
• vzdelávanie
• výstavba

Je pozoruhodné, že operátori zrejme nezneužili získaný prístup na hromadnú krádež údajov ani na nasadenie ransomvéru; pozorovateľným výsledkom bolo agresívne šírenie a zneužívanie účtov.

Ďalšie pozorované distribučné vektory

Hoci sú správy cez WhatsApp primárnou cestou šírenia, analytici našli dôkazy o tom, že útočníci šíria rovnaké škodlivé ZIP prílohy aj prostredníctvom e-mailov, pričom niekedy používajú zdanlivo legitímne adresy odosielateľov na zvýšenie dôveryhodnosti.

Prečo je táto kampaň pozoruhodná

SORVEPOTEL ilustruje trend, v ktorom útočníci zneužívajú bežné komunikačné platformy na znásobenie dosahu s minimálnou interakciou s používateľom. Využitím dôveryhodného kontaktu a pohodlia WhatsApp Web ako zbrane dosahuje malvér rýchle laterálne šírenie naprieč organizáciami bez potreby sofistikovaných komponentov na krádež údajov.

Záverečná poznámka

SORVEPOTEL pripomína, že sociálne platformy sú atraktívnymi kanálmi pre šírenie malvéru. Rýchla detekcia, vzdelávanie používateľov a kontroly, ktoré obmedzujú vykonávanie skriptov a monitorujú klientov posielajúcich správy na počítačoch, podstatne znížia plochu útoku, ktorú táto kampaň zneužíva.