Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό SORVEPOTEL

Κακόβουλο λογισμικό SORVEPOTEL

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Μια ταχέως εξελισσόμενη καμπάνια κακόβουλου λογισμικού με την ονομασία SORVEPOTEL εκμεταλλεύεται ενεργά την εμπιστοσύνη που δείχνουν οι άνθρωποι στο WhatsApp για να διαδοθεί σε περιβάλλοντα Windows. Σε αντίθεση με πολλές σύγχρονες επιθέσεις που έχουν σχεδιαστεί για κλοπή δεδομένων ή ransomware, αυτή η καμπάνια είναι βελτιστοποιημένη για γρήγορη, μεγάλης κλίμακας εξάπλωση — γεγονός που την καθιστά ιδιαίτερα επικίνδυνη σε εταιρικά περιβάλλοντα όπου μια μόνο παραβιασμένη επιφάνεια εργασίας μπορεί να προκαλέσει πολύ περισσότερες μολύνσεις.

Τι είναι το SORVEPOTEL

Το SORVEPOTEL είναι μια αυτοδιαδιδόμενη οικογένεια κακόβουλου λογισμικού των Windows που αξιοποιεί την κοινωνική μηχανική και την έκδοση για υπολογιστές/web του WhatsApp για τη διανομή κακόβουλων συνημμένων στις επαφές και τις ομάδες ενός θύματος. Ο κύριος στόχος του φαίνεται να είναι η ταχεία διάδοση και η κατάχρηση λογαριασμού (με αποτέλεσμα ανεπιθύμητα μηνύματα και αποκλεισμούς λογαριασμών), όχι η άμεση αφαίρεση δεδομένων ή η κρυπτογράφηση αρχείων.

Πώς παρασύρονται τα θύματα

Οι επιτιθέμενοι ξεκινούν από μια παραβιασμένη επαφή WhatsApp ή, σε ορισμένες περιπτώσεις, με ένα φαινομενικά νόμιμο email. Το μήνυμα περιέχει ένα αρχείο ZIP που έχει μεταμφιεστεί σε ένα ακίνδυνο στοιχείο (για παράδειγμα, μια απόδειξη ή ένα αρχείο εφαρμογής υγείας). Εάν ο παραλήπτης ανοίξει το αρχείο ZIP σε έναν υπολογιστή, συνήθως συμβαίνουν τα ακόλουθα βήματα:

  • Το θύμα εξαπατάται ώστε να εκκινήσει μια συντόμευση των Windows (LNK) μέσα στο αρχείο.
  • Το LNK εκτελεί σιωπηλά μια εντολή PowerShell η οποία κατεβάζει το ωφέλιμο φορτίο επόμενου σταδίου από έναν εξωτερικό κεντρικό υπολογιστή (ένα αναγνωρισμένο παράδειγμα είναι το sorvetenopoate.com).

Το ανακτημένο ωφέλιμο φορτίο είναι ένα σενάριο δέσμης που δημιουργεί persistence και εκτελεί περαιτέρω εντολές.

Λεπτομέρειες Εκτέλεσης και Μηχανισμοί Επιμονής

Μόλις εγκατασταθεί, το σενάριο δέσμης αντιγράφεται στον φάκελο εκκίνησης των Windows, ώστε να εκτελείται αυτόματα μετά την εκκίνηση του συστήματος. Επίσης, καλεί το PowerShell για να επικοινωνήσει με έναν διακομιστή Command‑and‑Control (C2) για οδηγίες παρακολούθησης ή για την ανάκτηση πρόσθετων στοιχείων. Αυτές οι συμπεριφορές επιτρέπουν στο κακόβουλο λογισμικό να παραμένει ενσωματωμένο και να δέχεται απομακρυσμένες εντολές από τους χειριστές.

Το WhatsApp ως μηχανή διάδοσης

Ένα βασικό χαρακτηριστικό του SORVEPOTEL είναι η ρουτίνα εξάπλωσης που χρησιμοποιεί μέσω WhatsApp. Εάν το κακόβουλο λογισμικό εντοπίσει ότι το WhatsApp Web (ο υπολογιστής-πελάτης για υπολογιστές/web) είναι ενεργό στον μολυσμένο υπολογιστή, αυτοματοποιεί τη διανομή του ίδιου κακόβουλου ZIP σε:

  • Όλες οι επαφές που συνδέονται με τον παραβιασμένο λογαριασμό και
  • Όλες οι ομάδες στις οποίες ανήκει ο λογαριασμός.

Αυτή η αυτοματοποιημένη διανομή παράγει πολύ μεγάλο όγκο εξερχόμενου ανεπιθύμητου περιεχομένου, το οποίο συχνά ενεργοποιεί την ανίχνευση κατάχρησης του WhatsApp και οδηγεί σε αναστολή ή αποκλεισμό λογαριασμών.

Πεδίο εφαρμογής και ποιος έχει χτυπηθεί

Η εκστρατεία μέχρι στιγμής επικεντρώνεται σε μεγάλο βαθμό στη Βραζιλία: 457 από τα 477 καταγεγραμμένα κρούσματα προήλθαν από εκεί. Οι στοχευμένοι οργανισμοί καλύπτουν διάφορους τομείς, κυρίως:

  • κυβέρνηση και δημόσιες υπηρεσίες
  • βιομηχανοποίηση
  • τεχνολογία
  • εκπαίδευση
  • κατασκευή

Αξίζει να σημειωθεί ότι οι φορείς εκμετάλλευσης δεν φαίνεται να έχουν χρησιμοποιήσει την αποκτηθείσα πρόσβαση για μαζική κλοπή δεδομένων ή για την ανάπτυξη ransomware. Το παρατηρήσιμο αποτέλεσμα ήταν η επιθετική διάδοση και η κατάχρηση λογαριασμών.

Επιπλέον διανύσματα κατανομής που παρατηρήθηκαν

Παρόλο που τα μηνύματα που βασίζονται στο WhatsApp είναι η κύρια οδός διάδοσης, οι αναλυτές έχουν βρει στοιχεία που αποδεικνύουν ότι οι εισβολείς διανέμουν επίσης τα ίδια κακόβουλα συνημμένα ZIP μέσω email, χρησιμοποιώντας μερικές φορές φαινομενικά νόμιμες διευθύνσεις αποστολέα για να αυξήσουν την αξιοπιστία τους.

Γιατί αυτή η καμπάνια είναι αξιοσημείωτη

Το SORVEPOTEL καταδεικνύει μια τάση όπου οι εισβολείς εκμεταλλεύονται τις κύριες πλατφόρμες επικοινωνίας για να πολλαπλασιάσουν την εμβέλεια με ελάχιστη αλληλεπίδραση χρήστη. Μετατρέποντας μια αξιόπιστη επαφή σε όπλο και την ευκολία του WhatsApp Web, το κακόβουλο λογισμικό επιτυγχάνει ταχεία πλευρική διάδοση σε οργανισμούς χωρίς να χρειάζεται εξελιγμένα στοιχεία κλοπής δεδομένων.

Τελικό Σημείωμα

Το SORVEPOTEL υπενθυμίζει ότι οι πλατφόρμες κοινωνικής δικτύωσης αποτελούν ελκυστικά κανάλια διάδοσης κακόβουλου λογισμικού. Η ταχεία ανίχνευση, η εκπαίδευση των χρηστών και οι έλεγχοι που περιορίζουν την εκτέλεση σεναρίων και παρακολουθούν τους χρήστες που ανταλλάσσουν μηνύματα σε επιτραπέζιους υπολογιστές θα μειώσουν σημαντικά την επιφάνεια επίθεσης που εκμεταλλεύεται αυτή η καμπάνια.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
34,321
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...