SORVEPOTEL-skadevare
En raskt utviklende skadevarekampanje kalt SORVEPOTEL utnytter aktivt tilliten folk har til WhatsApp til å spre seg på tvers av Windows-miljøer. I motsetning til mange moderne angrep bygget for datatyveri eller løsepengevirus, er denne kampanjen optimalisert for rask spredning i stor skala – noe som gjør den spesielt farlig i bedriftssammenhenger der ett enkelt kompromittert skrivebord kan forårsake mange flere infeksjoner.
Innholdsfortegnelse
Hva er SORVEPOTEL
SORVEPOTEL er en selvspredende familie av skadelig programvare for Windows som bruker sosial manipulering og desktop-/nettversjonen av WhatsApp for å distribuere skadelige vedlegg til offerets kontakter og grupper. Hovedmålet ser ut til å være rask spredning og misbruk av kontoer (som resulterer i spam og kontoutestengelser), ikke umiddelbar datautrensing eller filkryptering.
Hvordan ofre blir lokket
Angriperne starter fra en kompromittert WhatsApp-kontakt eller, i noen tilfeller, med en tilsynelatende legitim e-postadresse. Meldingen inneholder en ZIP-fil forkledd som et uskyldig element (for eksempel en kvittering eller en helseappfil). Hvis mottakeren åpner ZIP-filen på en datamaskin, skjer vanligvis følgende trinn:
- Offeret blir lurt til å starte en Windows-snarvei (LNK) inne i arkivet.
- LNK kjører stille en PowerShell-kommando som laster ned neste trinns nyttelast fra en ekstern vert (et identifisert eksempel er sorvetenopoate.com).
Den hentede nyttelasten er et batch-skript som etablerer persistens og utfører ytterligere kommandoer.
Utførelsesdetaljer og vedvarende mekanismer
Når det er installert, kopierer batch-skriptet seg selv til Windows-oppstartsmappen, slik at det kjører automatisk etter systemoppstart. Det aktiverer også PowerShell for å kontakte en kommando-og-kontroll-server (C2) for oppfølgingsinstruksjoner eller for å hente flere komponenter. Disse atferdene gjør at skadevaren kan forbli i systemet og godta eksterne kommandoer fra operatørene.
WhatsApp som formidlingsmotor
En kjernefunksjon i SORVEPOTEL er dens WhatsApp-bevisste spredningsrutine. Hvis skadevaren oppdager at WhatsApp Web (skrivebords-/nettklienten) er aktiv på den infiserte maskinen, automatiserer den distribusjonen av den samme skadelige ZIP-filen til:
- Alle kontakter knyttet til den kompromitterte kontoen, og
- Alle gruppene kontoen tilhører.
Denne automatiserte distribusjonen produserer et svært høyt volum av utgående spam, som ofte utløser WhatsApps misbruksdeteksjon og fører til suspenderte eller utestengte kontoer.
Omfang og hvem som har blitt truffet
Kampanjen så langt er sterkt konsentrert i Brasil: 457 av 477 registrerte infeksjoner oppsto der. Målrettede organisasjoner spenner over flere sektorer, særlig:
- myndigheter og offentlige tjenester
- produksjon
- teknologi
- utdannelse
- konstruksjon
Det er verdt å merke seg at operatørene ikke ser ut til å ha brukt oppnådd tilgang til massetyveri av data eller til å distribuere løsepengevirus; det observerbare resultatet har vært aggressiv spredning og misbruk av kontoer.
Ytterligere observerte distribusjonsvektorer
Selv om WhatsApp-baserte meldinger er den primære spredningsveien, har analytikere funnet bevis på at angripere også distribuerer de samme ondsinnede ZIP-vedleggene via e-post, noen ganger ved å bruke tilsynelatende legitime avsenderadresser for å øke troverdigheten.
Hvorfor denne kampanjen er bemerkelsesverdig
SORVEPOTEL illustrerer en trend der angripere utnytter vanlige kommunikasjonsplattformer for å øke rekkevidden med minimal brukerinteraksjon. Ved å bruke en pålitelig kontakt som våpen og bruke WhatsApp Web som et våpen, oppnår skadevaren rask lateral spredning på tvers av organisasjoner uten behov for sofistikerte komponenter mot datatyveri.
Avsluttende merknad
SORVEPOTEL er en påminnelse om at sosiale plattformer er attraktive spredningskanaler for skadelig programvare. Rask deteksjon, brukeropplæring og kontroller som begrenser skriptkjøring og overvåker meldingsklienter på datamaskiner, vil redusere angrepsflaten denne kampanjen utnytter betraktelig.
