Rabattoffert för flera licenser
Hotdatabas Skadlig programvara SORVEPOTEL-skadlig programvara

SORVEPOTEL-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

En snabbt växande skadlig kampanj med namnet SORVEPOTEL utnyttjar aktivt det förtroende som människor har för WhatsApp för att sprida sig i Windows-miljöer. Till skillnad från många moderna attacker som är byggda för datastöld eller ransomware är den här kampanjen optimerad för snabb, storskalig spridning – vilket gör den särskilt farlig i företagssammanhang där ett enda komprometterat skrivbord kan orsaka många fler infektioner.

Vad är SORVEPOTEL

SORVEPOTEL är en familj av självspridande Windows-skadlig kod som använder social ingenjörskonst och skrivbords-/webbversionen av WhatsApp för att distribuera skadliga bilagor till offrets kontakter och grupper. Dess primära mål verkar vara snabb spridning och kontomissbruk (vilket resulterar i skräppost och kontoavstängningar), inte omedelbar datautvinning eller filkryptering.

Hur offer lockas

Angripare börjar från en komprometterad WhatsApp-kontakt eller, i vissa fall, med en till synes legitim e-postadress. Meddelandet innehåller en ZIP-fil förklädd till ett oskyldigt objekt (till exempel ett kvitto eller en hälsoappfil). Om mottagaren öppnar ZIP-filen på en dator sker vanligtvis följande steg:

  • Offret luras att starta en Windows-genväg (LNK) inuti arkivet.
  • LNK kör tyst ett PowerShell-kommando som laddar ner nästa stegs nyttolast från en extern värd (ett identifierat exempel är sorvetenopoate.com).

Den hämtade nyttolasten är ett batchskript som etablerar persistens och kör ytterligare kommandon.

Exekveringsdetaljer och persistensmekanismer

När batchskriptet är installerat kopierar det sig självt till Windows startmapp så att det körs automatiskt efter systemstart. Det anropar också PowerShell för att kontakta en kommando-och-kontrollserver (C2) för uppföljningsinstruktioner eller för att hämta ytterligare komponenter. Dessa beteenden gör att skadlig programvara kan förbli inbyggd och acceptera fjärrkommandon från operatörerna.

WhatsApp som spridningsmotor

En kärnfunktion i SORVEPOTEL är dess WhatsApp-medvetna spridningsrutin. Om skadlig programvara upptäcker att WhatsApp Web (skrivbords-/webbklienten) är aktiv på den infekterade maskinen automatiserar den distributionen av samma skadliga ZIP-fil till:

  • Alla kontakter som är kopplade till det komprometterade kontot, och
  • Alla grupper som kontot tillhör.

Denna automatiserade distribution producerar en mycket hög volym utgående skräppost, vilket ofta utlöser WhatsApps missbruksdetektering och leder till avstängda eller avstängda konton.

Omfattning och vem som har blivit träffad

Kampanjen är hittills starkt koncentrerad till Brasilien: 457 av 477 registrerade infektioner har sitt ursprung där. De riktade organisationerna spänner över flera sektorer, särskilt:

  • statliga och offentliga tjänster
  • tillverkning
  • teknologi
  • utbildning
  • konstruktion

Det är värt att notera att operatörerna inte verkar ha använt förvärvad åtkomst för massstöld av datamängder eller för att distribuera ransomware; det observerbara resultatet har varit aggressiv spridning och kontomissbruk.

Ytterligare observerade distributionsvektorer

Även om WhatsApp-baserade meddelanden är den primära spridningsvägen har analytiker funnit bevis för att angripare också distribuerar samma skadliga ZIP-bilagor via e-post, ibland med hjälp av till synes legitima avsändaradresser för att öka trovärdigheten.

Varför den här kampanjen är anmärkningsvärd

SORVEPOTEL illustrerar en trend där angripare utnyttjar etablerade kommunikationsplattformar för att mångdubbla räckvidden med minimal användarinteraktion. Genom att använda en betrodd kontakt som ett vapen och använda WhatsApp Web som bekvämlighet uppnår skadlig kod snabb spridning i sidled mellan organisationer utan behov av sofistikerade komponenter för datastöld.

Avslutande anmärkning

SORVEPOTEL är en påminnelse om att sociala plattformar är attraktiva spridningskanaler för skadlig kod. Snabb upptäckt, användarutbildning och kontroller som begränsar skriptkörning och övervakar meddelandeklienter på datorer kommer avsevärt att minska attackytan som denna kampanj utnyttjar.

Trendigt

Mest sedda

Läser in...