Шкідливе програмне забезпечення SORVEPOTEL

Швидкорозповсюджувана кампанія шкідливого програмного забезпечення під назвою SORVEPOTEL активно використовує довіру людей до WhatsApp, щоб поширюватися в середовищах Windows. На відміну від багатьох сучасних атак, створених для крадіжки даних або програм-вимагачів, ця кампанія оптимізована для швидкого та масштабного поширення, що робить її особливо небезпечною в корпоративних умовах, де один скомпрометований робочий стіл може призвести до набагато більшої кількості заражень.

Що таке СОРВЕПОТЕЛ

SORVEPOTEL — це сімейство самопоширюваних шкідливих програм для Windows, яке використовує соціальну інженерію та веб-версію WhatsApp для розповсюдження шкідливих вкладень серед контактів та груп жертви. Його основною метою, ймовірно, є швидке поширення та зловживання обліковим записом (що призводить до спаму та блокування облікових записів), а не негайне вилучення даних або шифрування файлів.

Як заманюють жертв

Зловмисники починають зі скомпрометованого контакту WhatsApp або, в деяких випадках, зі здається легітимної електронної пошти. Повідомлення містить ZIP-файл, замаскований під нешкідливий елемент (наприклад, чек або файл медичного додатка). Якщо одержувач відкриває ZIP-файл на комп’ютері, зазвичай відбуваються такі кроки:

• Жертву обманом змушують запустити ярлик Windows (LNK) всередині архіву.
• LNK непомітно виконує команду PowerShell, яка завантажує корисне навантаження наступного етапу із зовнішнього хоста (ідентифікований приклад — sorvetenopoate.com).

Отримане корисне навантаження – це пакетний скрипт, який встановлює персистенцію та виконує подальші команди.

Деталі виконання та механізми збереження

Після встановлення пакетний скрипт копіюється в папку автозавантаження Windows, щоб він запускався автоматично після завантаження системи. Він також викликає PowerShell для зв’язку з сервером Command-and-Control (C2) для отримання подальших інструкцій або для отримання додаткових компонентів. Така поведінка дозволяє шкідливому програмному забезпеченню залишатися на місці та приймати віддалені команди від операторів.

WhatsApp як двигун поширення

Ключовою особливістю SORVEPOTEL є його процедура поширення з урахуванням WhatsApp. Якщо шкідливе програмне забезпечення виявляє, що WhatsApp Web (десктопний/веб-клієнт) активний на зараженому комп’ютері, воно автоматизує розповсюдження того ж шкідливого ZIP-архіву серед:

• Усі контакти, пов’язані зі зламаним обліковим записом, та
• Усі групи, до яких належить обліковий запис.

Таке автоматизоване розповсюдження створює дуже великий обсяг вихідного спаму, що часто запускає функцію виявлення зловживань WhatsApp і призводить до призупинення або блокування облікових записів.

Сфера застосування та хто постраждав

Кампанія поки що переважно зосереджена в Бразилії: 457 з 477 зареєстрованих випадків зараження виникли саме там. Цільові організації охоплюють кілька секторів, зокрема:

• урядові та державні служби
• виробництво
• технологія
• освіта
• будівництво

Примітно, що оператори, схоже, не використовували отриманий доступ для масового викрадення даних або розгортання програм-вимагачів; спостережуваним результатом стало агресивне поширення та зловживання обліковими записами.

Спостережувані додаткові вектори розподілу

Хоча основним шляхом поширення є повідомлення через WhatsApp, аналітики виявили докази того, що зловмисники також розповсюджують ті ж шкідливі ZIP-файли електронною поштою, іноді використовуючи, здавалося б, законні адреси відправників для підвищення достовірності.

Чому ця кампанія є помітною

SORVEPOTEL ілюструє тенденцію, коли зловмисники використовують основні комунікаційні платформи для збільшення охоплення з мінімальною взаємодією з користувачем. Використовуючи довірений контакт та зручність WhatsApp Web, шкідливе програмне забезпечення досягає швидкого поширення між організаціями без необхідності використання складних компонентів для крадіжки даних.

Заключна нотатка

SORVEPOTEL нагадує нам, що соціальні платформи є привабливими каналами поширення шкідливого програмного забезпечення. Швидке виявлення, навчання користувачів та засоби контролю, що обмежують виконання скриптів і відстежують клієнтів обміну повідомленнями на настільних комп'ютерах, суттєво зменшать поверхню для атаки, яку використовує ця кампанія.