SORVEPOTEL Злонамерни софтвер

Брзо растућа кампања злонамерног софтвера под називом SORVEPOTEL активно искоришћава поверење које људи имају у WhatsApp како би се ширила по Windows окружењима. За разлику од многих модерних напада направљених за крађу података или ransomware, ова кампања је оптимизована за брзо ширење великих размера — што је чини посебно опасном у пословним контекстима где једна угрожена радна површина може да посеје много више инфекција.

Шта је СОРВЕПОТЕЛ

SORVEPOTEL је самопропагандна породица Windows малвера која користи друштвени инжењеринг и десктоп/веб верзију WhatsApp-а за дистрибуцију злонамерних прилога контактима и групама жртве. Његов примарни циљ је, изгледа, брзо ширење и злоупотреба налога (што резултира спамом и забранама налога), а не тренутно крађа података или шифровање датотека.

Како се жртве намамљују

Нападачи почињу од компромитованог WhatsApp контакта или, у неким случајевима, са наизглед легитимном имејл адресом. Порука садржи ZIP датотеку прерушену у безопасну ставку (на пример, рачун или датотеку здравствене апликације). Ако прималац отвори ZIP датотеку на рачунару, обично се дешавају следећи кораци:

• Жртва је преварена да покрене Windows пречицу (LNK) унутар архиве.
• LNK тихо покреће PowerShell команду која преузима корисни терет следеће фазе са екстерног хоста (идентификовани пример је sorvetenopoate.com).

Преузети корисни терет је пакетни скрипт који успоставља перзистентност и извршава даље команде.

Детаљи извршења и механизми истрајности

Једном инсталиран, пакетни скрипт се копира у фолдер за покретање система Windows тако да ће се аутоматски покренути након покретања система. Такође позива PowerShell да би контактирао сервер Command-and-Control (C2) за даља упутства или да би преузео додатне компоненте. Оваква понашања омогућавају злонамерном софтверу да остане присутан и да прихвата даљинске команде од оператера.

WhatsApp као мотор ширења

Главна карактеристика SORVEPOTEL-а је његова рутина ширења која је свесна WhatsApp-а. Ако злонамерни софтвер открије да је WhatsApp Web (десктоп/веб клијент) активан на зараженом рачунару, он аутоматизује дистрибуцију истог злонамерног ZIP фајла на:

• Сви контакти повезани са угроженим налогом и
• Све групе којима налог припада.

Ова аутоматизована дистрибуција производи веома велику количину одлазне нежељене поште, што често покреће WhatsApp-ово откривање злоупотребе и доводи до суспендованих или забрањених налога.

Обим и ко је погођен

Кампања је до сада у великој мери концентрисана у Бразилу: 457 од 477 забележених инфекција потиче одатле. Циљане организације обухватају неколико сектора, посебно:

• владине и јавне службе
• производња
• технологија
• образовање
• изградња

Приметно је да оператери, изгледа, нису користили добијени приступ за масовну крађу података или за постављање ransomware-а; видљиви исход је био агресивно ширење и злоупотреба налога.

Додатни посматрани вектори дистрибуције

Иако су поруке засноване на WhatsApp-у примарни пут ширења, аналитичари су пронашли доказе да нападачи такође дистрибуирају исте злонамерне ZIP прилоге путем е-поште, понекад користећи наизглед легитимне адресе пошиљалаца како би повећали кредибилитет.

Зашто је ова кампања значајна

SORVEPOTEL илуструје тренд где нападачи користе главне комуникационе платформе како би повећали досег уз минималну интеракцију корисника. Користећи поузданог контакта и погодности WhatsApp Web-а као оружје, злонамерни софтвер постиже брзо латерално ширење међу организацијама без потребе за софистицираним компонентама за крађу података.

Завршна напомена

SORVEPOTEL је подсетник да су друштвене платформе атрактивни канали за ширење злонамерног софтвера. Брзо откривање, едукација корисника и контроле које ограничавају извршавање скрипти и прате клијенте за размену порука на десктоп рачунарима значајно ће смањити површину за напад коју ова кампања искоришћава.