Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер SORVEPOTEL Malware

SORVEPOTEL Malware

До Mezo през Зловреден софтуерг
Превод на:

Бързо разпространяваща се злонамерена кампания, наречена SORVEPOTEL, активно използва доверието, което хората имат в WhatsApp, за да се разпространява в Windows среди. За разлика от много съвременни атаки, създадени за кражба на данни или ransomware, тази кампания е оптимизирана за бързо и мащабно разпространение, което я прави особено опасна в корпоративни среди, където един компрометиран настолен компютър може да зарази много повече хора.

Какво е SORVEPOTEL

SORVEPOTEL е саморазпространяващо се семейство злонамерен софтуер за Windows, което използва социалното инженерство и настолната/уеб версията на WhatsApp, за да разпространява злонамерени прикачени файлове до контактите и групите на жертвата. Основната му цел изглежда е бързото разпространение и злоупотреба с акаунти (водещо до спам и забрани на акаунти), а не незабавно извличане на данни или криптиране на файлове.

Как жертвите са примамени

Атакуващите започват с компрометиран контакт в WhatsApp или, в някои случаи, с привидно легитимен имейл. Съобщението съдържа ZIP файл, маскиран като безобиден елемент (например касова бележка или файл на здравно приложение). Ако получателят отвори ZIP файла на настолен компютър, обикновено се извършват следните стъпки:

  • Жертвата е подведена да стартира пряк път на Windows (LNK) вътре в архива.
  • LNK изпълнява тихомълком PowerShell команда, която изтегля полезния товар от следващия етап от външен хост (идентифициран пример е sorvetenopoate.com).

Извлеченият полезен товар е пакетен скрипт, който установява постоянство и изпълнява допълнителни команди.

Детайли за изпълнение и механизми за запазване

След като бъде инсталиран, пакетният скрипт се копира в папката за стартиране на Windows, така че да се стартира автоматично след стартиране на системата. Той също така извиква PowerShell, за да се свърже със сървър за командване и управление (C2) за последващи инструкции или за извличане на допълнителни компоненти. Тези поведения позволяват на зловредния софтуер да остане резидентен и да приема отдалечени команди от операторите.

WhatsApp като двигател за разпространение

Основна характеристика на SORVEPOTEL е неговата рутина за разпространение, съобразена с WhatsApp. Ако зловредният софтуер открие, че WhatsApp Web (десктоп/уеб клиентът) е активен на заразената машина, той автоматизира разпространението на същия злонамерен ZIP файл до:

  • Всички контакти, свързани с компрометирания акаунт, и
  • Всички групи, към които принадлежи акаунтът.

Това автоматизирано разпространение генерира много голям обем изходящ спам, което често задейства откриването на злоупотреби от WhatsApp и води до спиране или забраняване на акаунти.

Обхват и кой е бил ударен

Досега кампанията е силно концентрирана в Бразилия: 457 от 477 регистрирани инфекции са с произход оттам. Целевите организации обхващат няколко сектора, а именно:

  • държавни и обществени услуги
  • производство
  • технология
  • образование
  • строителство

Забележително е, че операторите не изглежда да са използвали получения достъп за масова кражба на данни или за внедряване на ransomware; наблюдаваният резултат е агресивно разпространение и злоупотреба с акаунти.

Наблюдавани са допълнителни вектори на разпределение

Въпреки че съобщенията, базирани на WhatsApp, са основният път на разпространение, анализаторите са открили доказателства, че нападателите разпространяват същите злонамерени ZIP прикачени файлове и чрез имейл, понякога използвайки очевидно легитимни адреси на податели, за да увеличат достоверността.

Защо тази кампания е забележителна

SORVEPOTEL илюстрира тенденция, при която нападателите използват масовите комуникационни платформи, за да увеличат обхвата си с минимално взаимодействие с потребителя. Чрез използването на доверен контакт и удобството на WhatsApp Web, зловредният софтуер постига бързо странично разпространение в организациите, без да е необходимо да се използват сложни компоненти за кражба на данни.

Заключителна бележка

SORVEPOTEL е напомняне, че социалните платформи са привлекателни канали за разпространение на зловреден софтуер. Бързото откриване, обучението на потребителите и контролите, които ограничават изпълнението на скриптове и наблюдават клиентите за съобщения на настолни компютри, ще намалят значително повърхността за атака, която тази кампания използва.

Тенденция

Най-гледан

Зареждане...