Zlonamerna programska oprema SORVEPOTEL
Hitro razvijajoča se kampanja zlonamerne programske opreme z imenom SORVEPOTEL aktivno izkorišča zaupanje ljudi v WhatsApp, da se širi po okoljih Windows. Za razliko od mnogih sodobnih napadov, zasnovanih za krajo podatkov ali izsiljevalsko programsko opremo, je ta kampanja optimizirana za hitro in obsežno širjenje – zaradi česar je še posebej nevarna v podjetjih, kjer lahko eno samo ogroženo namizje povzroči veliko več okužb.
Kazalo
Kaj je SORVEPOTEL
SORVEPOTEL je družina samorazširjajoče se zlonamerne programske opreme za Windows, ki izkorišča socialni inženiring in namizno/spletno različico WhatsAppa za distribucijo zlonamernih prilog stikom in skupinam žrtve. Zdi se, da je njen glavni cilj hitro širjenje in zloraba računov (kar povzroči neželeno pošto in prepovedi računov), ne pa takojšnja ugrabitva podatkov ali šifriranje datotek.
Kako so žrtve zvabljene
Napadalci začnejo z ogroženim stikom v storitvi WhatsApp ali v nekaterih primerih z na videz legitimnim e-poštnim sporočilom. Sporočilo vsebuje datoteko ZIP, prikrito kot neškodljiv predmet (na primer potrdilo ali datoteka zdravstvene aplikacije). Če prejemnik odpre datoteko ZIP na namiznem računalniku, se običajno zgodijo naslednji koraki:
- Žrtev z zvijačo zažene bližnjico sistema Windows (LNK) znotraj arhiva.
- LNK tiho zažene ukaz PowerShell, ki prenese koristni tovor naslednje stopnje z zunanjega gostitelja (prepoznan primer je sorvetenopoate.com).
Pridobljeni koristni tovor je paketni skript, ki vzpostavi vztrajnost in izvede nadaljnje ukaze.
Podrobnosti izvajanja in mehanizmi vztrajnosti
Ko je paketni skript nameščen, se kopira v mapo za zagon sistema Windows, tako da se bo samodejno zagnal po zagonu sistema. Prav tako zažene PowerShell, da se obrne na strežnik Command-and-Control (C2) za nadaljnja navodila ali za pridobitev dodatnih komponent. Takšno vedenje omogoča, da zlonamerna programska oprema ostane prisotna in sprejema oddaljene ukaze od operaterjev.
WhatsApp kot gonilnik širjenja
Osrednja značilnost zlonamerne programske opreme SORVEPOTEL je njena rutina širjenja, ki se zaveda uporabe WhatsAppa. Če zlonamerna programska oprema zazna, da je na okuženem računalniku aktiven WhatsApp Web (namizni/spletni odjemalec), avtomatizira distribucijo iste zlonamerne datoteke ZIP na:
- Vsi stiki, povezani z ogroženim računom, in
- Vse skupine, ki jim pripada račun.
Ta avtomatizirana distribucija ustvarja zelo veliko količino odhodne neželene pošte, kar pogosto sproži zaznavanje zlorabe v WhatsAppu in vodi do začasne blokade ali prepovedi računov.
Obseg in kdo je bil prizadet
Kampanja je do sedaj močno osredotočena na Brazilijo: 457 od 477 zabeleženih okužb izvira od tam. Ciljne organizacije zajemajo več sektorjev, zlasti:
- vladne in javne storitve
- proizvodnja
- tehnologija
- izobraževanje
- gradbeništvo
Omeniti velja, da operaterji pridobljenega dostopa očitno niso uporabili za množično krajo podatkov ali za namestitev izsiljevalske programske opreme; opazen rezultat je bilo agresivno širjenje in zloraba računov.
Dodatni opaženi vektorji porazdelitve
Čeprav so sporočila, ki temeljijo na WhatsAppu, glavna pot širjenja, so analitiki našli dokaze, da napadalci distribuirajo iste zlonamerne priloge ZIP tudi prek e-pošte, včasih pa za povečanje verodostojnosti uporabljajo navidezno legitimne naslove pošiljateljev.
Zakaj je ta kampanja pomembna
SORVEPOTEL ponazarja trend, kjer napadalci izkoriščajo običajne komunikacijske platforme za povečanje dosega z minimalno interakcijo z uporabniki. Z izkoriščanjem zaupanja vrednega stika in priročnosti WhatsApp Weba zlonamerna programska oprema doseže hitro lateralno širjenje med organizacijami, ne da bi potrebovala sofisticirane komponente za krajo podatkov.
Zaključna opomba
SORVEPOTEL nas opominja, da so družbena omrežja privlačni kanali za širjenje zlonamerne programske opreme. Hitro odkrivanje, izobraževanje uporabnikov in nadzor, ki omejuje izvajanje skriptov in spremlja odjemalce za sporočanje na namiznih računalnikih, bodo bistveno zmanjšali površino za napad, ki jo ta kampanja izkorišča.
