Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносное ПО SORVEPOTEL

Вредоносное ПО SORVEPOTEL

К Mezo году в Вредоносное ПО году
Перевести на:

Быстро распространяющаяся вредоносная кампания SORVEPOTEL активно использует доверие пользователей к WhatsApp для своего распространения в средах Windows. В отличие от многих современных атак, направленных на кражу данных или вымогательство, эта кампания оптимизирована для быстрого и масштабного распространения, что делает её особенно опасной в корпоративном контексте, где один взломанный компьютер может стать причиной множества заражений.

Что такое SORVEPOTEL

SORVEPOTEL — это семейство самораспространяющихся вредоносных программ для Windows, использующее социальную инженерию и настольную/веб-версию WhatsApp для распространения вредоносных вложений по контактам и группам жертвы. Его основная цель, по-видимому, — быстрое распространение и злоупотребление аккаунтами (что приводит к спаму и блокировке аккаунтов), а не мгновенная кража данных или шифрование файлов.

Как заманивают жертв

Злоумышленники начинают атаку со взломанного контакта WhatsApp или, в некоторых случаях, с, казалось бы, легитимного электронного письма. Сообщение содержит ZIP-файл, замаскированный под безобидный объект (например, чек или файл приложения для здоровья). Если получатель открывает ZIP-файл на компьютере, обычно выполняются следующие действия:

  • Жертву обманным путем заставляют запустить ярлык Windows (LNK) внутри архива.
  • LNK молча запускает команду PowerShell, которая загружает полезную нагрузку следующего этапа с внешнего хоста (пример — sorvetenopoate.com).

Полученная полезная нагрузка представляет собой пакетный скрипт, который устанавливает персистентность и выполняет дальнейшие команды.

Подробности выполнения и механизмы сохранения

После установки пакетный скрипт копирует себя в папку автозагрузки Windows, чтобы автоматически запускаться после загрузки системы. Он также вызывает PowerShell для связи с сервером командного управления (C2) для получения дальнейших инструкций или загрузки дополнительных компонентов. Такое поведение позволяет вредоносной программе оставаться резидентной и принимать удалённые команды от операторов.

WhatsApp как двигатель распространения

Ключевой особенностью SORVEPOTEL является алгоритм распространения, совместимый с WhatsApp. Если вредоносная программа обнаруживает, что на зараженном компьютере активен WhatsApp Web (клиент для настольного компьютера или веб-приложение), она автоматически распространяет тот же вредоносный ZIP-архив, чтобы:

  • Все контакты, связанные с взломанной учетной записью, и
  • Все группы, к которым принадлежит аккаунт.

Такая автоматическая рассылка создает очень большой объем исходящего спама, который часто срабатывает система обнаружения злоупотреблений WhatsApp и приводит к приостановке или блокировке аккаунтов.

Область действия и кто пострадал

На данный момент кампания в основном сосредоточена в Бразилии: 457 из 477 зарегистрированных случаев заражения произошли именно там. Целевые организации охватывают несколько секторов, в частности:

  • государственные и общественные услуги
  • производство
  • технология
  • образование
  • строительство

Примечательно, что операторы, судя по всему, не использовали полученный доступ для массовой кражи данных или внедрения программ-вымогателей; наблюдаемым результатом стало агрессивное распространение и злоупотребление учетными записями.

Наблюдаемые дополнительные векторы распространения

Хотя основным каналом распространения являются сообщения через WhatsApp, аналитики обнаружили доказательства того, что злоумышленники также рассылают те же вредоносные ZIP-вложения по электронной почте, иногда используя для повышения доверия якобы легитимные адреса отправителей.

Чем примечательна эта кампания

SORVEPOTEL иллюстрирует тенденцию, когда злоумышленники используют популярные коммуникационные платформы для расширения охвата при минимальном взаимодействии с пользователем. Используя доверенный контакт и удобство WhatsApp Web, вредоносное ПО обеспечивает быстрое горизонтальное распространение по организациям без необходимости использования сложных компонентов для кражи данных.

Заключительное замечание

SORVEPOTEL напоминает, что социальные платформы являются привлекательными каналами распространения вредоносного ПО. Быстрое обнаружение, обучение пользователей и средства контроля, ограничивающие выполнение скриптов и отслеживающие мессенджеры на настольных компьютерах, существенно сузят поверхность атаки, которую использует эта кампания.

В тренде

Наиболее просматриваемые

Загрузка...