Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware SORVEPOTEL Malware

SORVEPOTEL Malware

Nga MezoMalware
Përkthe në:

Një fushatë me shpejtësi të lartë programesh keqdashëse e quajtur SORVEPOTEL po shfrytëzon në mënyrë aktive besimin që njerëzit kanë në WhatsApp për t'u përhapur në mjediset e Windows. Ndryshe nga shumë sulme moderne të ndërtuara për vjedhje të dhënash ose ransomware, kjo fushatë është e optimizuar për përhapje të shpejtë dhe në shkallë të gjerë - gjë që e bën atë veçanërisht të rrezikshme në kontekstet e ndërmarrjeve ku një desktop i vetëm i kompromentuar mund të mbjellë shumë më tepër infeksione.

Çfarë është SORVEPOTEL

SORVEPOTEL është një familje programesh keqdashëse për Windows që përhapen vetë dhe që shfrytëzon inxhinierinë sociale dhe versionin për desktop/web të WhatsApp për të shpërndarë bashkëngjitje dashakeqe në kontaktet dhe grupet e viktimës. Objektivi i tij kryesor duket të jetë përhapja e shpejtë dhe abuzimi me llogarinë (që rezulton në spam dhe bllokime llogarish), jo nxjerrja e menjëhershme e të dhënave ose enkriptimi i skedarëve.

Si joshen viktimat

Sulmuesit fillojnë nga një kontakt i kompromentuar në WhatsApp ose, në disa raste, me një email në dukje të ligjshëm. Mesazhi përmban një skedar ZIP të maskuar si një artikull i padëmshëm (për shembull, një faturë ose skedar i aplikacionit shëndetësor). Nëse marrësi e hap skedarin ZIP në një desktop, zakonisht ndodhin hapat e mëposhtëm:

  • Viktima mashtrohet që të hapë një shkurtore të Windows (LNK) brenda arkivit.
  • LNK ekzekuton në heshtje një komandë PowerShell e cila shkarkon ngarkesën e fazës tjetër nga një host i jashtëm (një shembull i identifikuar është sorvetenopoate.com).

Ngarkesa e marrë është një skript batch që krijon qëndrueshmëri dhe ekzekuton komanda të mëtejshme.

Detajet e Ekzekutimit dhe Mekanizmat e Përhershëm

Pasi instalohet, skripti i grupit kopjohet vetë në dosjen Windows Startup, kështu që do të ekzekutohet automatikisht pas nisjes së sistemit. Ai gjithashtu aktivizon PowerShell për të kontaktuar një server Command‑and‑Control (C2) për udhëzime pasuese ose për të marrë komponentë shtesë. Këto sjellje i mundësojnë programit keqdashës të mbetet i pranishëm dhe të pranojë komanda në distancë nga operatorët.

WhatsApp si Motor Përhapjeje

Një veçori thelbësore e SORVEPOTEL është rutina e tij e përhapjes e ndërgjegjshme për WhatsApp. Nëse malware zbulon se WhatsApp Web (klienti desktop/web) është aktiv në makinën e infektuar, ai automatizon shpërndarjen e të njëjtit ZIP keqdashës në:

  • Të gjitha kontaktet e lidhura me llogarinë e kompromentuar, dhe
  • Të gjitha grupet të cilave u përket llogaria.

Ky shpërndarje e automatizuar prodhon një vëllim shumë të lartë të spam-it dalës, i cili shpesh aktivizon zbulimin e abuzimit të WhatsApp dhe çon në pezullimin ose ndalimin e llogarive.

Fusha dhe kush është goditur

Fushata deri më tani është përqendruar kryesisht në Brazil: 457 nga 477 infeksione të regjistruara e kanë origjinën atje. Organizatat e synuara përfshijnë disa sektorë, veçanërisht:

  • qeveria dhe shërbimet publike
  • prodhim
  • teknologji
  • arsim
  • ndërtim

Veçanërisht, operatorët nuk duket se e kanë përdorur aksesin e fituar për vjedhje masive të të dhënave ose për të vendosur ransomware; rezultati i vëzhgueshëm ka qenë përhapja agresive dhe abuzimi me llogarinë.

Vektorë të tjerë të shpërndarjes të vëzhguar

Edhe pse mesazhet e bazuara në WhatsApp janë rruga kryesore e përhapjes, analistët kanë gjetur prova se sulmuesit shpërndajnë të njëjtat bashkëngjitje ZIP me qëllim të keq nëpërmjet email-it, ndonjëherë duke përdorur adresa dërguesish në dukje legjitime për të rritur besueshmërinë.

Pse kjo fushatë është e shquar

SORVEPOTEL ilustron një trend ku sulmuesit shfrytëzojnë platformat kryesore të komunikimit për të shumëfishuar shtrirjen me ndërveprim minimal të përdoruesit. Duke e shndërruar në armë një kontakt të besuar dhe komoditetin e WhatsApp Web, malware arrin përhapje të shpejtë anësore nëpër organizata pa pasur nevojë për komponentë të sofistikuar të vjedhjes së të dhënave.

Shënim Përfundimtar

SORVEPOTEL është një kujtesë se platformat sociale janë kanale tërheqëse përhapjeje për malware-in. Zbulimi i shpejtë, edukimi i përdoruesve dhe kontrollet që kufizojnë ekzekutimin e skripteve dhe monitorojnë klientët e mesazheve në desktop do ta zvogëlojnë ndjeshëm sipërfaqen e sulmit që shfrytëzon kjo fushatë.

Në trend

Më e shikuara

Po ngarkohet...