SORVEPOTEL मालवेयर

SORVEPOTEL नामक द्रुत गतिमा फैलिएको मालवेयर अभियानले Windows वातावरणमा आफूलाई फैलाउन WhatsApp मा मानिसहरूले राखेको विश्वासलाई सक्रिय रूपमा शोषण गरिरहेको छ। डेटा चोरी वा ransomware को लागि निर्मित धेरै आधुनिक आक्रमणहरू भन्दा फरक, यो अभियान द्रुत, ठूलो मात्रामा फैलावटको लागि अनुकूलित गरिएको छ - जसले यसलाई विशेष गरी उद्यम सन्दर्भहरूमा खतरनाक बनाउँछ जहाँ एकल सम्झौता गरिएको डेस्कटपले धेरै संक्रमणहरू निम्त्याउन सक्छ।

SORVEPOTEL भनेको के हो?

SORVEPOTEL एक स्व-प्रचारित विन्डोज मालवेयर परिवार हो जसले पीडितको सम्पर्क र समूहहरूमा दुर्भावनापूर्ण संलग्नकहरू वितरण गर्न सामाजिक इन्जिनियरिङ र व्हाट्सएपको डेस्कटप/वेब संस्करणको लाभ उठाउँछ। यसको प्राथमिक उद्देश्य द्रुत प्रसार र खाता दुरुपयोग (स्पाम र खाता प्रतिबन्धको परिणामस्वरूप) जस्तो देखिन्छ, तत्काल डेटा एक्सफिल्टरेशन वा फाइल इन्क्रिप्शन होइन।

पीडितहरूलाई कसरी लोभ्याइन्छ

आक्रमणकारीहरू सम्झौता गरिएको व्हाट्सएप सम्पर्कबाट वा, केही अवस्थामा, वैध देखिने इमेलबाट सुरु गर्छन्। सन्देशमा एक हानिरहित वस्तुको रूपमा भेषमा रहेको ZIP फाइल हुन्छ (उदाहरणका लागि, रसिद वा स्वास्थ्य-एप फाइल)। यदि प्राप्तकर्ताले डेस्कटपमा ZIP खोल्छ भने, सामान्यतया निम्न चरणहरू हुन्छन्:

• पीडितलाई अभिलेख भित्र विन्डोज सर्टकट (LNK) सुरु गर्न झुक्याइन्छ।
• LNK ले चुपचाप PowerShell आदेश चलाउँछ जसले बाह्य होस्टबाट अर्को चरणको पेलोड डाउनलोड गर्छ (पहिचान गरिएको उदाहरण sorvetenopoate.com हो)।

पुनःप्राप्त पेलोड एक ब्याच स्क्रिप्ट हो जसले दृढता स्थापित गर्दछ र थप आदेशहरू कार्यान्वयन गर्दछ।

कार्यान्वयन विवरण र दृढता संयन्त्रहरू

एकपटक स्थापना भएपछि, ब्याच स्क्रिप्टले विन्डोज स्टार्टअप फोल्डरमा प्रतिलिपि बनाउँछ ताकि यो प्रणाली बुट पछि स्वचालित रूपमा चल्नेछ। यसले फलो-अप निर्देशनहरूको लागि वा थप कम्पोनेन्टहरू ल्याउन कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरलाई सम्पर्क गर्न PowerShell लाई पनि आह्वान गर्दछ। यी व्यवहारहरूले मालवेयरलाई बासिन्दा रहन र अपरेटरहरूबाट टाढाको आदेशहरू स्वीकार गर्न सक्षम बनाउँछ।

प्रचार इन्जिनको रूपमा व्हाट्सएप

SORVEPOTEL को मुख्य विशेषता भनेको यसको व्हाट्सएप-सचेत फैलाउने दिनचर्या हो। यदि मालवेयरले संक्रमित मेसिनमा व्हाट्सएप वेब (डेस्कटप/वेब क्लाइन्ट) सक्रिय छ भनेर पत्ता लगाउँछ भने, यसले उही मालिसियस जिपको वितरणलाई स्वचालित बनाउँछ:

• ह्याक भएको खातामा लिङ्क गरिएका सबै सम्पर्कहरू, र
• खाता सम्बन्धित सबै समूहहरू।

यो स्वचालित वितरणले धेरै मात्रामा आउटबाउन्ड स्पाम उत्पादन गर्छ, जसले प्रायः व्हाट्सएपको दुरुपयोग पत्ता लगाउने कामलाई ट्रिगर गर्छ र खाताहरू निलम्बित वा प्रतिबन्धित गर्छ।

स्कोप र कसलाई हिट गरिएको छ

अहिलेसम्मको अभियान ब्राजिलमा धेरै केन्द्रित छ: ४७७ रेकर्ड गरिएका संक्रमणहरू मध्ये ४५७ ब्राजिलबाटै सुरु भएको थियो। लक्षित संस्थाहरूले धेरै क्षेत्रहरू फैलाएका छन्, विशेष गरी:

• सरकार र सार्वजनिक सेवाहरू
• निर्माण
• प्रविधि
• शिक्षा
• निर्माण

उल्लेखनीय कुरा के छ भने, अपरेटरहरूले सामूहिक डेटा चोरी वा ransomware तैनाथ गर्न प्राप्त पहुँच प्रयोग गरेको देखिँदैन; अवलोकनयोग्य परिणाम आक्रामक प्रसार र खाता दुरुपयोग भएको छ।

अवलोकन गरिएका अतिरिक्त वितरण भेक्टरहरू

यद्यपि व्हाट्सएप-आधारित सन्देशहरू प्राथमिक प्रसार मार्ग हुन्, विश्लेषकहरूले प्रमाण फेला पारेका छन् कि आक्रमणकारीहरूले इमेल मार्फत उही दुर्भावनापूर्ण जिप संलग्नकहरू पनि वितरण गर्छन्, कहिलेकाहीँ विश्वसनीयता बढाउन स्पष्ट रूपमा वैध प्रेषक ठेगानाहरू प्रयोग गर्छन्।

यो अभियान किन उल्लेखनीय छ

SORVEPOTEL ले एउटा प्रवृत्तिलाई चित्रण गर्दछ जहाँ आक्रमणकारीहरूले न्यूनतम प्रयोगकर्ता अन्तरक्रियाको साथ पहुँच बढाउन मुख्यधारा सञ्चार प्लेटफर्महरूको शोषण गर्छन्। विश्वसनीय सम्पर्क र व्हाट्सएप वेबको सुविधालाई हतियार बनाएर, मालवेयरले परिष्कृत डेटा-चोरी कम्पोनेन्टहरूको आवश्यकता बिना नै संस्थाहरूमा द्रुत पार्श्व प्रसार प्राप्त गर्दछ।

समापन नोट

SORVEPOTEL ले सामाजिक प्लेटफर्महरू मालवेयरका लागि आकर्षक प्रसार च्यानलहरू हुन् भन्ने कुराको सम्झना गराउँछ। द्रुत पहिचान, प्रयोगकर्ता शिक्षा, र स्क्रिप्ट कार्यान्वयनलाई सीमित गर्ने र डेस्कटपहरूमा सन्देश क्लाइन्टहरूको निगरानी गर्ने नियन्त्रणहरूले यस अभियानले शोषण गर्ने आक्रमण सतहलाई भौतिक रूपमा कम गर्नेछ।