Multi-License Discount Quote
Banta sa Database Malware SORVEPOTEL Malware

SORVEPOTEL Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Ang isang mabilis na kumikilos na kampanya ng malware na pinangalanang SORVEPOTEL ay aktibong sinasamantala ang tiwala na ibinibigay ng mga tao sa WhatsApp upang ipalaganap ang sarili nito sa mga kapaligiran ng Windows. Hindi tulad ng maraming modernong pag-atake na ginawa para sa pagnanakaw ng data o ransomware, ang campaign na ito ay na-optimize para sa mabilis, malakihang pagkalat — na ginagawang partikular na mapanganib sa mga konteksto ng enterprise kung saan ang isang nakompromisong desktop ay maaaring magbunga ng marami pang impeksiyon.

Ano ang SORVEPOTEL

Ang SORVEPOTEL ay isang pamilyang Windows malware na nagpapalaganap sa sarili na gumagamit ng social engineering at ang desktop/web na bersyon ng WhatsApp upang ipamahagi ang mga nakakahamak na attachment sa mga contact at grupo ng biktima. Ang pangunahing layunin nito ay lumilitaw na mabilis na pagpapakalat at pag-abuso sa account (na nagreresulta sa spam at pagbabawal ng account), hindi agarang pag-exfiltrate ng data o pag-encrypt ng file.

Paano Naakit ang mga Biktima

Nagsisimula ang mga umaatake sa isang nakompromisong contact sa WhatsApp o, sa ilang mga kaso, sa isang tila lehitimong email. Naglalaman ang mensahe ng ZIP file na nakatago bilang isang hindi nakapipinsalang item (halimbawa, isang resibo o health-app na file). Kung bubuksan ng tatanggap ang ZIP sa isang desktop, karaniwang nangyayari ang mga sumusunod na hakbang:

  • Nalinlang ang biktima na maglunsad ng Windows shortcut (LNK) sa loob ng archive.
  • Tahimik na nagpapatakbo ang LNK ng PowerShell command na nagda-download ng susunod na yugto ng payload mula sa isang external na host (isang natukoy na halimbawa ay sorvetenopoate.com).

Ang nakuhang payload ay isang batch script na nagtatatag ng pagtitiyaga at nagpapatupad ng mga karagdagang utos.

Mga Detalye ng Pagpapatupad At Mga Mekanismo ng Pagtitiyaga

Kapag na-install na, kinokopya ng batch script ang sarili nito sa folder ng Windows Startup upang awtomatiko itong tatakbo pagkatapos mag-boot ng system. Hinihimok din nito ang PowerShell na makipag-ugnayan sa isang Command‑and‑Control (C2) server para sa mga follow-up na tagubilin o para kumuha ng mga karagdagang bahagi. Ang mga gawi na ito ay nagbibigay-daan sa malware na manatiling residente at tumanggap ng mga malalayong utos mula sa mga operator.

WhatsApp Bilang Ang Propagation Engine

Ang isang pangunahing tampok ng SORVEPOTEL ay ang kalakaran sa pagpapakalat nito sa WhatsApp. Kung nakita ng malware na ang WhatsApp Web (ang desktop/web client) ay aktibo sa infected na makina, awtomatiko nitong ipapamahagi ang parehong malisyosong ZIP sa:

  • Lahat ng contact na naka-link sa nakompromisong account, at
  • Lahat ng pangkat na kinabibilangan ng account.

Ang awtomatikong pamamahagi na ito ay gumagawa ng napakataas na dami ng papalabas na spam, na kadalasang nagti-trigger ng pagtuklas ng pang-aabuso ng WhatsApp at humahantong sa mga nasuspinde o pinagbawalan na mga account.

Saklaw At Sino ang Natamaan

Ang kampanya sa ngayon ay mabigat na puro sa Brazil: 457 sa 477 na naitalang impeksyon ay nagmula doon. Ang mga target na organisasyon ay sumasaklaw sa ilang sektor, lalo na:

  • pamahalaan at serbisyo publiko
  • pagmamanupaktura
  • teknolohiya
  • edukasyon
  • pagtatayo

Kapansin-pansin, ang mga operator ay hindi lumilitaw na gumamit ng nakakuha ng access para sa mass data theft o upang mag-deploy ng ransomware; ang nakikitang resulta ay ang agresibong pagpapalaganap at pag-abuso sa account.

Mga Karagdagang Distribusyon na Vector na Naobserbahan

Bagama't ang mga mensaheng nakabatay sa WhatsApp ang pangunahing ruta ng pagpapalaganap, nakahanap ang mga analyst ng katibayan na ang mga umaatake ay namamahagi din ng parehong malisyosong ZIP attachment sa pamamagitan ng email, kung minsan ay gumagamit ng tila lehitimong mga address ng nagpadala upang mapataas ang kredibilidad.

Bakit Kapansin-pansin ang Kampanya na Ito

Inilalarawan ng SORVEPOTEL ang isang trend kung saan sinasamantala ng mga umaatake ang mga pangunahing platform ng komunikasyon upang paramihin ang abot nang may kaunting pakikipag-ugnayan ng user. Sa pamamagitan ng pag-armas sa isang pinagkakatiwalaang contact at sa kaginhawahan ng WhatsApp Web, nakakamit ng malware ang mabilis na lateral propagation sa mga organisasyon nang hindi nangangailangan ng mga sopistikadong bahagi ng pagnanakaw ng data.

Pangwakas na Tala

Ang SORVEPOTEL ay isang paalala na ang mga social platform ay mga kaakit-akit na propagation channel para sa malware. Ang mabilis na pagtuklas, edukasyon ng user, at mga kontrol na naglilimita sa pagpapatupad ng script at sinusubaybayan ang mga kliyente ng pagmemensahe sa mga desktop ay materyal na makakabawas sa pag-atake na pinagsasamantalahan ng campaign na ito.

Trending

Pinaka Nanood

Naglo-load...