Rabattilbud med flere licenser
Trusseldatabase Malware SORVEPOTEL Malware

SORVEPOTEL Malware

Med Mezo i Malware
Oversæt til:

En hurtigt udviklende malwarekampagne ved navn SORVEPOTEL udnytter aktivt den tillid, folk har til WhatsApp, til at sprede sig på tværs af Windows-miljøer. I modsætning til mange moderne angreb, der er bygget til datatyveri eller ransomware, er denne kampagne optimeret til hurtig spredning i stor skala – hvilket gør den særligt farlig i virksomhedssammenhænge, hvor et enkelt kompromitteret skrivebord kan forårsage mange flere infektioner.

Hvad er SORVEPOTEL

SORVEPOTEL er en selvspredende Windows-malwarefamilie, der udnytter social engineering og desktop-/webversionen af WhatsApp til at distribuere ondsindede vedhæftede filer til et offers kontakter og grupper. Dens primære mål ser ud til at være hurtig spredning og misbrug af kontoen (hvilket resulterer i spam og kontoudelukkelser), ikke øjeblikkelig dataeksfiltrering eller filkryptering.

Hvordan ofre bliver lokket

Angribere starter fra en kompromitteret WhatsApp-kontakt eller i nogle tilfælde med en tilsyneladende legitim e-mail. Beskeden indeholder en ZIP-fil forklædt som et uskadeligt element (f.eks. en kvittering eller en sundhedsapp-fil). Hvis modtageren åbner ZIP-filen på en computer, udføres følgende trin typisk:

  • Offeret bliver narret til at åbne en Windows-genvej (LNK) inde i arkivet.
  • LNK'en kører lydløst en PowerShell-kommando, som downloader næste-trins nyttelast fra en ekstern vært (et identificeret eksempel er sorvetenopoate.com).

Den hentede nyttelast er et batchscript, der etablerer persistens og udfører yderligere kommandoer.

Udførelsesdetaljer og persistensmekanismer

Når batch-scriptet er installeret, kopierer det sig selv til Windows-startmappen, så det kører automatisk efter systemstart. Det aktiverer også PowerShell for at kontakte en Command-and-Control (C2)-server for at få opfølgende instruktioner eller for at hente yderligere komponenter. Disse adfærdsmønstre gør det muligt for malwaren at forblive resident og acceptere fjernkommandoer fra operatørerne.

WhatsApp som formidlingsmotor

En kernefunktion i SORVEPOTEL er dens WhatsApp-bevidste spredningsrutine. Hvis malwaren registrerer, at WhatsApp Web (desktop-/webklienten) er aktiv på den inficerede maskine, automatiserer den distributionen af den samme ondsindede ZIP-fil til:

  • Alle kontakter, der er knyttet til den kompromitterede konto, og
  • Alle grupper, som kontoen tilhører.

Denne automatiserede distribution producerer en meget høj mængde udgående spam, hvilket ofte udløser WhatsApps misbrugsdetektion og fører til suspenderede eller udelukkede konti.

Omfang og hvem der er blevet ramt

Kampagnen er indtil videre stærkt koncentreret i Brasilien: 457 ud af 477 registrerede infektioner stammer derfra. De målrettede organisationer spænder over flere sektorer, især:

  • regering og offentlige tjenester
  • fremstilling
  • teknologi
  • undervisning
  • konstruktion

Det er bemærkelsesværdigt, at operatørerne ikke ser ud til at have brugt opnået adgang til massetyveri af data eller til at implementere ransomware; det observerbare resultat har været aggressiv spredning og misbrug af konti.

Yderligere observerede fordelingsvektorer

Selvom WhatsApp-baserede beskeder er den primære spredningsrute, har analytikere fundet bevis for, at angribere også distribuerer de samme ondsindede ZIP-vedhæftede filer via e-mail, nogle gange ved hjælp af tilsyneladende legitime afsenderadresser for at øge troværdigheden.

Hvorfor denne kampagne er bemærkelsesværdig

SORVEPOTEL illustrerer en tendens, hvor angribere udnytter mainstream-kommunikationsplatforme til at mangedoble rækkevidden med minimal brugerinteraktion. Ved at udnytte en betroet kontakt og bekvemmeligheden ved WhatsApp Web som våben opnår malwaren hurtig lateral spredning på tværs af organisationer uden behov for sofistikerede komponenter til datatyveri.

Afsluttende bemærkning

SORVEPOTEL er en påmindelse om, at sociale platforme er attraktive spredningskanaler for malware. Hurtig detektion, brugeruddannelse og kontroller, der begrænser scriptkørsel og overvåger beskedklienter på desktops, vil væsentligt reducere den angrebsflade, som denne kampagne udnytter.

Trending

Mest sete

Indlæser...