Slevová nabídka pro více licencí
Databáze hrozeb Malware SORVEPOTEL Malware

SORVEPOTEL Malware

V roce Mezo v roce Malware
Přeložit do:

Rychle se šířící malwarová kampaň s názvem SORVEPOTEL aktivně zneužívá důvěry, kterou lidé vkládají do WhatsAppu, k šíření v prostředích Windows. Na rozdíl od mnoha moderních útoků zaměřených na krádež dat nebo ransomware je tato kampaň optimalizována pro rychlé a rozsáhlé šíření – což ji činí obzvláště nebezpečnou v podnikových prostředích, kde jeden napadený počítač může spustit mnohem více infekcí.

Co je SORVEPOTEL

SORVEPOTEL je samovolně se šířící rodina malwaru pro Windows, která využívá sociální inženýrství a desktopovou/webovou verzi WhatsAppu k distribuci škodlivých příloh kontaktům a skupinám oběti. Jeho primárním cílem se zdá být rychlé šíření a zneužití účtů (což vede ke spamu a zablokování účtů), nikoli okamžitý únik dat nebo šifrování souborů.

Jak jsou oběti lákány

Útočníci začínají s kompromitovaným kontaktem ve WhatsAppu nebo v některých případech se zdánlivě legitimním e-mailem. Zpráva obsahuje soubor ZIP maskovaný jako neškodná položka (například účtenka nebo soubor zdravotní aplikace). Pokud příjemce otevře soubor ZIP na počítači, obvykle dojde k následujícím krokům:

  • Oběť je podvedena ke spuštění zástupce Windows (LNK) uvnitř archivu.
  • LNK tiše spustí příkaz PowerShellu, který stáhne datovou část další fáze z externího hostitele (identifikovaným příkladem je sorvetenopoate.com).

Načtený datový soubor je dávkový skript, který nastavuje perzistenci a provádí další příkazy.

Detaily provádění a mechanismy perzistence

Po instalaci se dávkový skript zkopíruje do složky Po spuštění systému Windows, takže se po spuštění systému automaticky spustí. Také spustí PowerShell, aby kontaktoval server Command-and-Control (C2) a získal další pokyny nebo načetl další komponenty. Díky tomuto chování malware zůstává v systému a přijímá vzdálené příkazy od operátorů.

WhatsApp jako šířící motor

Klíčovou vlastností malwaru SORVEPOTEL je jeho šíření s podporou WhatsAppu. Pokud malware zjistí, že je na infikovaném počítači aktivní WhatsApp Web (desktopový/webový klient), automatizuje distribuci stejného škodlivého ZIP souboru do:

  • Všechny kontakty propojené s napadeným účtem a
  • Všechny skupiny, do kterých účet patří.

Tato automatizovaná distribuce produkuje velmi vysoký objem odchozího spamu, který často spouští detekci zneužití ve WhatsAppu a vede k pozastavení nebo zablokování účtů.

Rozsah a kdo byl zasažen

Kampaň je zatím silně soustředěna v Brazílii: 457 ze 477 zaznamenaných infekcí pochází z této oblasti. Cílové organizace se rozprostírají v několika sektorech, zejména:

  • vládní a veřejné služby
  • výrobní
  • technologie
  • školství
  • konstrukce

Je pozoruhodné, že operátoři zřejmě nezneužili získaný přístup k hromadné krádeži dat ani k nasazení ransomwaru; pozorovatelným výsledkem bylo agresivní šíření a zneužití účtů.

Další pozorované distribuční vektory

Přestože jsou zprávy přes WhatsApp primární cestou šíření, analytici našli důkazy o tom, že útočníci také distribuují stejné škodlivé ZIP přílohy prostřednictvím e-mailů, někdy s použitím zdánlivě legitimních adres odesílatelů ke zvýšení důvěryhodnosti.

Proč je tato kampaň pozoruhodná

SORVEPOTEL ilustruje trend, kdy útočníci zneužívají běžné komunikační platformy k znásobení dosahu s minimální interakcí s uživatelem. Využitím důvěryhodného kontaktu a pohodlí WhatsApp Web dosahuje malware rychlého šíření napříč organizacemi, aniž by potřeboval sofistikované komponenty pro krádež dat.

Závěrečná poznámka

SORVEPOTEL připomíná, že sociální platformy jsou atraktivními kanály pro šíření malwaru. Rychlá detekce, vzdělávání uživatelů a kontroly, které omezují spouštění skriptů a monitorují klienty pro zasílání zpráv na počítačích, podstatně sníží plochu pro útok, kterou tato kampaň zneužívá.

Trendy

Nejvíce shlédnuto

Načítání...