Phần mềm độc hại SORVEPOTEL
Một chiến dịch phần mềm độc hại phát triển nhanh chóng có tên SORVEPOTEL đang tích cực lợi dụng lòng tin của người dùng vào WhatsApp để lây lan trên môi trường Windows. Không giống như nhiều cuộc tấn công hiện đại được thiết kế để đánh cắp dữ liệu hoặc ransomware, chiến dịch này được tối ưu hóa để lây lan nhanh chóng trên quy mô lớn — điều này đặc biệt nguy hiểm trong bối cảnh doanh nghiệp, nơi một máy tính để bàn bị xâm nhập có thể gieo rắc nhiều vụ lây nhiễm hơn.
Mục lục
SORVEPOTEL là gì?
SORVEPOTEL là một họ phần mềm độc hại Windows tự phát tán, lợi dụng kỹ thuật tấn công mạng xã hội và phiên bản WhatsApp trên máy tính/web để phát tán tệp đính kèm độc hại đến danh bạ và nhóm của nạn nhân. Mục tiêu chính của nó dường như là phát tán nhanh chóng và lạm dụng tài khoản (dẫn đến thư rác và khóa tài khoản), chứ không phải đánh cắp dữ liệu hoặc mã hóa tệp ngay lập tức.
Nạn nhân bị dụ dỗ như thế nào
Kẻ tấn công bắt đầu từ một liên hệ WhatsApp bị xâm phạm hoặc, trong một số trường hợp, bằng một email có vẻ hợp lệ. Tin nhắn chứa một tệp ZIP được ngụy trang thành một mục vô hại (ví dụ: tệp biên lai hoặc ứng dụng sức khỏe). Nếu người nhận mở tệp ZIP trên máy tính để bàn, các bước sau thường xảy ra:
- Nạn nhân bị lừa khởi chạy một phím tắt Windows (LNK) bên trong kho lưu trữ.
- LNK âm thầm chạy lệnh PowerShell để tải xuống phần tải trọng giai đoạn tiếp theo từ máy chủ bên ngoài (một ví dụ đã xác định là sorvetenopoate.com).
Tải trọng được lấy là một tập lệnh hàng loạt thiết lập tính bền bỉ và thực thi các lệnh tiếp theo.
Chi tiết thực thi và cơ chế duy trì
Sau khi cài đặt, tập lệnh hàng loạt sẽ tự động sao chép vào thư mục Khởi động Windows để chạy tự động sau khi hệ thống khởi động. Nó cũng kích hoạt PowerShell để liên hệ với máy chủ Command-and-Control (C2) để nhận hướng dẫn tiếp theo hoặc để tìm nạp các thành phần bổ sung. Những hành vi này cho phép phần mềm độc hại vẫn tồn tại và chấp nhận lệnh từ xa từ người điều khiển.
WhatsApp là công cụ truyền bá
Một tính năng cốt lõi của SORVEPOTEL là quy trình phát tán nhận diện WhatsApp. Nếu phần mềm độc hại phát hiện WhatsApp Web (ứng dụng máy tính để bàn/web) đang hoạt động trên máy bị nhiễm, nó sẽ tự động phân phối cùng một tệp ZIP độc hại đến:
- Tất cả các liên hệ được liên kết với tài khoản bị xâm phạm và
- Tất cả các nhóm mà tài khoản đó thuộc về.
Việc phân phối tự động này tạo ra một lượng lớn thư rác gửi đi, thường kích hoạt tính năng phát hiện lạm dụng của WhatsApp và dẫn đến việc đình chỉ hoặc cấm tài khoản.
Phạm vi và ai đã bị tấn công
Cho đến nay, chiến dịch này tập trung chủ yếu ở Brazil: 457 trong số 477 ca nhiễm được ghi nhận có nguồn gốc từ quốc gia này. Các tổ chức bị nhắm mục tiêu trải rộng trên nhiều lĩnh vực, đáng chú ý là:
- chính phủ và các dịch vụ công cộng
- chế tạo
- công nghệ
- giáo dục
- sự thi công
Đáng chú ý là những kẻ điều hành dường như không sử dụng quyền truy cập được để đánh cắp dữ liệu hàng loạt hoặc triển khai phần mềm tống tiền; kết quả có thể quan sát được là sự lan truyền mạnh mẽ và lạm dụng tài khoản.
Các vectơ phân phối bổ sung được quan sát
Mặc dù tin nhắn dựa trên WhatsApp là con đường phát tán chính, các nhà phân tích đã tìm thấy bằng chứng cho thấy kẻ tấn công cũng phân phối các tệp ZIP độc hại tương tự qua email, đôi khi sử dụng địa chỉ người gửi hợp pháp để tăng độ tin cậy.
Tại sao chiến dịch này đáng chú ý
SORVEPOTEL minh họa một xu hướng trong đó kẻ tấn công khai thác các nền tảng truyền thông chính thống để nhân rộng phạm vi tiếp cận với tương tác tối thiểu của người dùng. Bằng cách lợi dụng một liên hệ đáng tin cậy và sự tiện lợi của WhatsApp Web, phần mềm độc hại có thể lây lan nhanh chóng qua các tổ chức mà không cần đến các thành phần đánh cắp dữ liệu tinh vi.
Ghi chú kết thúc
SORVEPOTEL là lời nhắc nhở rằng các nền tảng mạng xã hội là những kênh lan truyền hấp dẫn cho phần mềm độc hại. Việc phát hiện nhanh chóng, giáo dục người dùng và các biện pháp kiểm soát nhằm hạn chế việc thực thi tập lệnh cũng như giám sát các ứng dụng nhắn tin trên máy tính để bàn sẽ làm giảm đáng kể phạm vi tấn công mà chiến dịch này khai thác.
