SORVEPOTEL Zlonamjerni softver
Brzo rastuća kampanja zlonamjernog softvera pod nazivom SORVEPOTEL aktivno iskorištava povjerenje koje ljudi imaju u WhatsApp kako bi se širila po Windows okruženjima. Za razliku od mnogih modernih napada osmišljenih za krađu podataka ili ransomware, ova kampanja je optimizirana za brzo širenje velikih razmjera - što je čini posebno opasnom u poslovnim kontekstima gdje jedno kompromitovano računalo može posijati mnogo više infekcija.
Sadržaj
Što je SORVEPOTEL
SORVEPOTEL je samorazmnožavajuća obitelj zlonamjernog softvera za Windows koja koristi društveni inženjering i desktop/web verziju WhatsAppa za distribuciju zlonamjernih privitaka kontaktima i grupama žrtve. Čini se da mu je primarni cilj brzo širenje i zlouporaba računa (što rezultira neželjenom poštom i zabranom računa), a ne trenutno iznuđivanje podataka ili šifriranje datoteka.
Kako se žrtve namamljuju
Napadači počinju s kompromitiranim WhatsApp kontaktom ili, u nekim slučajevima, s naizgled legitimnom e-poštom. Poruka sadrži ZIP datoteku prikrivenu kao bezopasan predmet (na primjer, račun ili datoteku zdravstvene aplikacije). Ako primatelj otvori ZIP datoteku na računalu, obično se događaju sljedeći koraci:
- Žrtva je prevarena da pokrene Windows prečac (LNK) unutar arhive.
- LNK tiho pokreće PowerShell naredbu koja preuzima sadržaj sljedeće faze s vanjskog hosta (identificirani primjer je sorvetenopoate.com).
Dohvaćeni korisni teret je batch skripta koja uspostavlja perzistenciju i izvršava daljnje naredbe.
Detalji izvršenja i mehanizmi trajnosti
Nakon instalacije, batch skripta se kopira u mapu Windows Startup kako bi se automatski pokrenula nakon pokretanja sustava. Također poziva PowerShell za kontaktiranje Command-and-Control (C2) poslužitelja za daljnje upute ili za dohvaćanje dodatnih komponenti. Ova ponašanja omogućuju zlonamjernom softveru da ostane prisutan i da prihvaća udaljene naredbe od operatera.
WhatsApp kao pokretač širenja
Ključna značajka SORVEPOTEL-a je njegova rutina širenja koja je svjesna WhatsApp-a. Ako zlonamjerni softver otkrije da je WhatsApp Web (desktop/web klijent) aktivan na zaraženom računalu, automatizira distribuciju istog zlonamjernog ZIP-a na:
- Svi kontakti povezani s kompromitiranim računom i
- Sve grupe kojima račun pripada.
Ova automatizirana distribucija stvara vrlo veliku količinu neželjene pošte, što često pokreće WhatsAppovo otkrivanje zloupotrebe i dovodi do suspenzije ili zabrane računa.
Opseg i tko je pogođen
Kampanja je do sada uvelike koncentrirana u Brazilu: 457 od 477 zabilježenih infekcija nastalo je tamo. Ciljane organizacije obuhvaćaju nekoliko sektora, posebno:
- vladine i javne službe
- proizvodnja
- tehnologija
- obrazovanje
- građevinarstvo
Valja napomenuti da operateri nisu iskoristili dobiveni pristup za masovnu krađu podataka ili za primjenu ransomwarea; uočljivi ishod bio je agresivno širenje i zlouporaba računa.
Dodatni uočeni vektori distribucije
Iako su poruke temeljene na WhatsAppu primarni put širenja, analitičari su pronašli dokaze da napadači također distribuiraju iste zlonamjerne ZIP priloge putem e-pošte, ponekad koristeći naizgled legitimne adrese pošiljatelja kako bi povećali vjerodostojnost.
Zašto je ova kampanja značajna
SORVEPOTEL ilustrira trend u kojem napadači iskorištavaju glavne komunikacijske platforme kako bi povećali doseg uz minimalnu interakciju korisnika. Iskorištavanjem pouzdanog kontakta i praktičnosti WhatsApp Weba, zlonamjerni softver postiže brzo lateralno širenje među organizacijama bez potrebe za sofisticiranim komponentama za krađu podataka.
Završna napomena
SORVEPOTEL je podsjetnik da su društvene platforme atraktivni kanali za širenje zlonamjernog softvera. Brzo otkrivanje, edukacija korisnika i kontrole koje ograničavaju izvršavanje skripti i prate klijente za razmjenu poruka na računalima značajno će smanjiti površinu napada koju ova kampanja iskorištava.
