SORVEPOTEL ਮਾਲਵੇਅਰ

SORVEPOTEL ਨਾਮਕ ਇੱਕ ਤੇਜ਼ੀ ਨਾਲ ਵਧਦੀ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ Windows ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਆਪਣੇ ਆਪ ਨੂੰ ਫੈਲਾਉਣ ਲਈ WhatsApp ਵਿੱਚ ਲੋਕਾਂ ਦੇ ਵਿਸ਼ਵਾਸ ਦਾ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੀ ਹੈ। ਡੇਟਾ ਚੋਰੀ ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਲਈ ਬਣਾਏ ਗਏ ਬਹੁਤ ਸਾਰੇ ਆਧੁਨਿਕ ਹਮਲਿਆਂ ਦੇ ਉਲਟ, ਇਹ ਮੁਹਿੰਮ ਤੇਜ਼, ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਫੈਲਣ ਲਈ ਅਨੁਕੂਲਿਤ ਹੈ - ਜੋ ਇਸਨੂੰ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਸੰਦਰਭਾਂ ਵਿੱਚ ਖਾਸ ਤੌਰ 'ਤੇ ਖ਼ਤਰਨਾਕ ਬਣਾਉਂਦੀ ਹੈ ਜਿੱਥੇ ਇੱਕ ਸਿੰਗਲ ਸਮਝੌਤਾ ਕੀਤਾ ਡੈਸਕਟੌਪ ਬਹੁਤ ਸਾਰੀਆਂ ਹੋਰ ਲਾਗਾਂ ਨੂੰ ਬੀਜ ਸਕਦਾ ਹੈ।

SORVEPOTEL ਕੀ ਹੈ?

SORVEPOTEL ਇੱਕ ਸਵੈ-ਪ੍ਰਚਾਰਿਤ Windows ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਹੈ ਜੋ ਪੀੜਤ ਦੇ ਸੰਪਰਕਾਂ ਅਤੇ ਸਮੂਹਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਅਟੈਚਮੈਂਟਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ WhatsApp ਦੇ ਡੈਸਕਟੌਪ/ਵੈੱਬ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਤੇਜ਼ੀ ਨਾਲ ਪ੍ਰਸਾਰ ਅਤੇ ਖਾਤੇ ਦੀ ਦੁਰਵਰਤੋਂ (ਸਪੈਮ ਅਤੇ ਖਾਤੇ 'ਤੇ ਪਾਬੰਦੀ ਦੇ ਨਤੀਜੇ ਵਜੋਂ) ਜਾਪਦਾ ਹੈ, ਨਾ ਕਿ ਤੁਰੰਤ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਜਾਂ ਫਾਈਲ ਇਨਕ੍ਰਿਪਸ਼ਨ।

ਪੀੜਤਾਂ ਨੂੰ ਕਿਵੇਂ ਭਰਮਾਇਆ ਜਾਂਦਾ ਹੈ

ਹਮਲਾਵਰ ਕਿਸੇ ਖਰਾਬ ਹੋਏ WhatsApp ਸੰਪਰਕ ਤੋਂ ਜਾਂ, ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਇੱਕ ਜਾਇਜ਼ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂਆਤ ਕਰਦੇ ਹਨ। ਸੁਨੇਹੇ ਵਿੱਚ ਇੱਕ ਜ਼ਿਪ ਫਾਈਲ ਹੁੰਦੀ ਹੈ ਜੋ ਇੱਕ ਨਿਰਦੋਸ਼ ਚੀਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਹੁੰਦੀ ਹੈ (ਉਦਾਹਰਣ ਵਜੋਂ, ਇੱਕ ਰਸੀਦ ਜਾਂ ਸਿਹਤ-ਐਪ ਫਾਈਲ)। ਜੇਕਰ ਪ੍ਰਾਪਤਕਰਤਾ ਡੈਸਕਟੌਪ 'ਤੇ ਜ਼ਿਪ ਖੋਲ੍ਹਦਾ ਹੈ, ਤਾਂ ਆਮ ਤੌਰ 'ਤੇ ਹੇਠ ਲਿਖੇ ਕਦਮ ਹੁੰਦੇ ਹਨ:

• ਪੀੜਤ ਨੂੰ ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਲਾਂਚ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
• LNK ਚੁੱਪਚਾਪ ਇੱਕ PowerShell ਕਮਾਂਡ ਚਲਾਉਂਦਾ ਹੈ ਜੋ ਇੱਕ ਬਾਹਰੀ ਹੋਸਟ ਤੋਂ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ (ਇੱਕ ਪਛਾਣਿਆ ਗਿਆ ਉਦਾਹਰਣ sorvetenopoate.com ਹੈ)।

ਪ੍ਰਾਪਤ ਕੀਤਾ ਪੇਲੋਡ ਇੱਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਹੈ ਜੋ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਹੋਰ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵੇਰਵੇ ਅਤੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ

ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਬੈਚ ਸਕ੍ਰਿਪਟ ਆਪਣੇ ਆਪ ਨੂੰ Windows ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ ਕਾਪੀ ਕਰ ਲੈਂਦੀ ਹੈ ਤਾਂ ਜੋ ਇਹ ਸਿਸਟਮ ਬੂਟ ਹੋਣ ਤੋਂ ਬਾਅਦ ਆਪਣੇ ਆਪ ਚੱਲੇ। ਇਹ ਪਾਵਰਸ਼ੈਲ ਨੂੰ ਫਾਲੋ-ਅੱਪ ਨਿਰਦੇਸ਼ਾਂ ਲਈ ਜਾਂ ਵਾਧੂ ਹਿੱਸਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਲਈ ਵੀ ਸੱਦਾ ਦਿੰਦਾ ਹੈ। ਇਹ ਵਿਵਹਾਰ ਮਾਲਵੇਅਰ ਨੂੰ ਨਿਵਾਸੀ ਰਹਿਣ ਅਤੇ ਓਪਰੇਟਰਾਂ ਤੋਂ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਨੂੰ ਸਵੀਕਾਰ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।

ਪ੍ਰਸਾਰ ਇੰਜਣ ਵਜੋਂ WhatsApp

SORVEPOTEL ਦੀ ਇੱਕ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸਦਾ WhatsApp-ਜਾਗਰੂਕ ਫੈਲਾਉਣ ਵਾਲਾ ਰੁਟੀਨ ਹੈ। ਜੇਕਰ ਮਾਲਵੇਅਰ ਨੂੰ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ WhatsApp ਵੈੱਬ (ਡੈਸਕਟਾਪ/ਵੈੱਬ ਕਲਾਇੰਟ) ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ 'ਤੇ ਸਰਗਰਮ ਹੈ, ਤਾਂ ਇਹ ਉਸੇ ਖਤਰਨਾਕ ZIP ਦੀ ਵੰਡ ਨੂੰ ਸਵੈਚਾਲਿਤ ਕਰਦਾ ਹੈ:

• ਛੇੜਛਾੜ ਵਾਲੇ ਖਾਤੇ ਨਾਲ ਜੁੜੇ ਸਾਰੇ ਸੰਪਰਕ, ਅਤੇ
• ਉਹ ਸਾਰੇ ਸਮੂਹ ਜਿਨ੍ਹਾਂ ਨਾਲ ਖਾਤਾ ਸਬੰਧਤ ਹੈ।

ਇਹ ਸਵੈਚਾਲਿਤ ਵੰਡ ਬਹੁਤ ਜ਼ਿਆਦਾ ਮਾਤਰਾ ਵਿੱਚ ਬਾਹਰ ਜਾਣ ਵਾਲੇ ਸਪੈਮ ਪੈਦਾ ਕਰਦੀ ਹੈ, ਜੋ ਅਕਸਰ WhatsApp ਦੀ ਦੁਰਵਰਤੋਂ ਦੀ ਪਛਾਣ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ ਅਤੇ ਖਾਤਿਆਂ ਨੂੰ ਮੁਅੱਤਲ ਜਾਂ ਪਾਬੰਦੀਸ਼ੁਦਾ ਕਰਦੀ ਹੈ।

ਸਕੋਪ ਅਤੇ ਕੌਣ ਹਿੱਟ ਹੋਇਆ ਹੈ

ਹੁਣ ਤੱਕ ਦੀ ਮੁਹਿੰਮ ਬ੍ਰਾਜ਼ੀਲ ਵਿੱਚ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕੇਂਦ੍ਰਿਤ ਹੈ: 477 ਦਰਜ ਕੀਤੇ ਗਏ ਇਨਫੈਕਸ਼ਨਾਂ ਵਿੱਚੋਂ 457 ਉੱਥੋਂ ਹੀ ਸ਼ੁਰੂ ਹੋਏ ਸਨ। ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸੰਗਠਨ ਕਈ ਖੇਤਰਾਂ ਵਿੱਚ ਫੈਲੇ ਹੋਏ ਹਨ, ਖਾਸ ਕਰਕੇ:

• ਸਰਕਾਰੀ ਅਤੇ ਜਨਤਕ ਸੇਵਾਵਾਂ
• ਨਿਰਮਾਣ
• ਤਕਨਾਲੋਜੀ
• ਸਿੱਖਿਆ
• ਉਸਾਰੀ

ਖਾਸ ਤੌਰ 'ਤੇ, ਓਪਰੇਟਰਾਂ ਨੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਪ੍ਰਾਪਤ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕੀਤੀ ਜਾਪਦੀ; ਦੇਖਣਯੋਗ ਨਤੀਜਾ ਹਮਲਾਵਰ ਪ੍ਰਸਾਰ ਅਤੇ ਖਾਤੇ ਦੀ ਦੁਰਵਰਤੋਂ ਰਿਹਾ ਹੈ।

ਵਾਧੂ ਵੰਡ ਵੈਕਟਰ ਦੇਖੇ ਗਏ

ਹਾਲਾਂਕਿ WhatsApp-ਅਧਾਰਿਤ ਸੁਨੇਹੇ ਮੁੱਖ ਪ੍ਰਸਾਰਣ ਰਸਤਾ ਹਨ, ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੂੰ ਸਬੂਤ ਮਿਲੇ ਹਨ ਕਿ ਹਮਲਾਵਰ ਈਮੇਲ ਰਾਹੀਂ ਵੀ ਉਹੀ ਖਤਰਨਾਕ ZIP ਅਟੈਚਮੈਂਟ ਵੰਡਦੇ ਹਨ, ਕਈ ਵਾਰ ਭਰੋਸੇਯੋਗਤਾ ਵਧਾਉਣ ਲਈ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਭੇਜਣ ਵਾਲੇ ਪਤਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਇਹ ਮੁਹਿੰਮ ਕਿਉਂ ਮਹੱਤਵਪੂਰਨ ਹੈ

SORVEPOTEL ਇੱਕ ਅਜਿਹੇ ਰੁਝਾਨ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿੱਥੇ ਹਮਲਾਵਰ ਘੱਟੋ-ਘੱਟ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਨਾਲ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਲਈ ਮੁੱਖ ਧਾਰਾ ਸੰਚਾਰ ਪਲੇਟਫਾਰਮਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਇੱਕ ਭਰੋਸੇਮੰਦ ਸੰਪਰਕ ਅਤੇ WhatsApp ਵੈੱਬ ਦੀ ਸਹੂਲਤ ਨੂੰ ਹਥਿਆਰ ਬਣਾ ਕੇ, ਮਾਲਵੇਅਰ ਸੂਝਵਾਨ ਡੇਟਾ-ਚੋਰੀ ਹਿੱਸਿਆਂ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਸੰਗਠਨਾਂ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਪਾਸੇ ਦੇ ਪ੍ਰਸਾਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਸਮਾਪਤੀ ਨੋਟ

SORVEPOTEL ਇੱਕ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਸੋਸ਼ਲ ਪਲੇਟਫਾਰਮ ਮਾਲਵੇਅਰ ਲਈ ਆਕਰਸ਼ਕ ਪ੍ਰਸਾਰ ਚੈਨਲ ਹਨ। ਤੇਜ਼ ਖੋਜ, ਉਪਭੋਗਤਾ ਸਿੱਖਿਆ, ਅਤੇ ਨਿਯੰਤਰਣ ਜੋ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸੀਮਤ ਕਰਦੇ ਹਨ ਅਤੇ ਡੈਸਕਟੌਪਾਂ 'ਤੇ ਮੈਸੇਜਿੰਗ ਕਲਾਇੰਟਸ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦੇ ਹਨ, ਇਸ ਮੁਹਿੰਮ ਦੁਆਰਾ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਨੂੰ ਭੌਤਿਕ ਤੌਰ 'ਤੇ ਘਟਾ ਦੇਣਗੇ।