SORVEPOTEL kenkėjiška programa
Sparčiai besivystanti kenkėjiškų programų kampanija, pavadinta SORVEPOTEL, aktyviai išnaudoja žmonių pasitikėjimą „WhatsApp“, kad galėtų plisti „Windows“ aplinkose. Skirtingai nuo daugelio šiuolaikinių atakų, skirtų duomenų vagystei ar išpirkos reikalaujančioms programoms, ši kampanija yra optimizuota greitam, didelio masto plitimui, todėl ji ypač pavojinga įmonių kontekste, kur vienas pažeistas darbalaukis gali sukelti daug daugiau infekcijų.
Turinys
Kas yra SORVEPOTEL?
„SORVEPOTEL“ yra savaime plintanti „Windows“ kenkėjiškų programų šeima, kuri naudoja socialinę inžineriją ir „WhatsApp“ darbalaukio / žiniatinklio versiją, kad platintų kenkėjiškus priedus aukos kontaktams ir grupėms. Atrodo, kad pagrindinis jos tikslas yra greitas platinimas ir paskyros piktnaudžiavimas (dėl kurio siunčiamas šlamštas ir paskyros blokuojamos), o ne tiesioginis duomenų nutekėjimas ar failų šifravimas.
Kaip viliojamos aukos
Užpuolikai pradeda nuo pažeisto „WhatsApp“ kontakto arba, kai kuriais atvejais, nuo, regis, teisėto el. laiško. Laiške yra ZIP failas, užmaskuotas kaip nekenksmingas elementas (pavyzdžiui, kvitas arba sveikatos programėlės failas). Jei gavėjas atidaro ZIP failą darbalaukyje, paprastai atliekami šie veiksmai:
- Auka apgaule priverčiama paleisti „Windows“ spartųjį klavišą (LNK) archyve.
- LNK tyliai vykdo „PowerShell“ komandą, kuri atsisiunčia kito etapo naudingąją apkrovą iš išorinio kompiuterio (nustatytas pavyzdys yra sorvetenopoate.com).
Gauta naudingoji apkrova yra paketinis scenarijus, kuris nustato pastovumą ir vykdo tolesnes komandas.
Vykdymo detalės ir tęstinumo mechanizmai
Įdiegus paketinį scenarijų, jis nukopijuojamas į „Windows“ paleisties aplanką, todėl paleidžiamas automatiškai po sistemos paleidimo. Jis taip pat iškviečia „PowerShell“, kad susisiektų su komandų ir valdymo (C2) serveriu ir gautų tolesnes instrukcijas arba gautų papildomus komponentus. Dėl šių veiksmų kenkėjiška programa gali likti sistemoje ir priimti nuotolines operatorių komandas.
„WhatsApp“ kaip sklidimo variklis
Pagrindinė „SORVEPOTEL“ funkcija yra jos „WhatsApp“ atpažinimo sklaidos rutina. Jei kenkėjiška programa aptinka, kad užkrėstame kompiuteryje aktyvus „WhatsApp Web“ (darbalaukio / žiniatinklio klientas), ji automatizuoja to paties kenkėjiško ZIP failo platinimą:
- Visi su pažeista paskyra susieti kontaktai ir
- Visos grupės, kurioms priklauso paskyra.
Šis automatinis platinimas sukuria labai didelį siunčiamo šlamšto kiekį, kuris dažnai suaktyvina „WhatsApp“ piktnaudžiavimo aptikimą ir lemia paskyrų sustabdymą arba uždraudimą.
Taikymo sritis ir kas nukentėjo
Kol kas kampanija daugiausia sutelkta Brazilijoje: 457 iš 477 užregistruotų užsikrėtimų įvyko ten. Tikslinės organizacijos veikia keliuose sektoriuose, ypač:
- vyriausybės ir viešosios paslaugos
- gamyba
- technologijos
- išsilavinimas
- statyba
Pažymėtina, kad operatoriai, regis, nepasinaudojo gauta prieiga masiniam duomenų vagystės ar išpirkos reikalaujančios programinės įrangos diegimui; pastebimas rezultatas buvo agresyvus platinimas ir paskyrų piktnaudžiavimas.
Papildomai pastebėti pasiskirstymo vektoriai
Nors „WhatsApp“ pagrindu siunčiamos žinutės yra pagrindinis plitimo būdas, analitikai rado įrodymų, kad užpuolikai tuos pačius kenkėjiškus ZIP priedus taip pat platina el. paštu, kartais naudodami, regis, teisėtus siuntėjų adresus, kad padidintų patikimumą.
Kodėl ši kampanija yra reikšminga
„SORVEPOTEL“ iliustruoja tendenciją, kai užpuolikai išnaudoja pagrindines komunikacijos platformas, kad pasiektų daugiau naudotojų su minimaliu naudotojų įsikišimu. Panaudodama patikimą kontaktą ir „WhatsApp Web“ patogumą, kenkėjiška programa greitai plinta organizacijose, nenaudodama sudėtingų duomenų vagystės komponentų.
Baigiamoji pastaba
„SORVEPOTEL“ primena, kad socialinės platformos yra patrauklūs kenkėjiškų programų plitimo kanalai. Greitas aptikimas, vartotojų švietimas ir valdikliai, ribojantys scenarijų vykdymą ir stebintys pranešimų klientus staliniuose kompiuteriuose, žymiai sumažins šios kampanijos išnaudojamą atakų paviršių.
