SORVEPOTEL మాల్వేర్

SORVEPOTEL అనే వేగంగా కదులుతున్న మాల్వేర్ ప్రచారం, WhatsApp పై ప్రజలు ఉంచిన నమ్మకాన్ని Windows పరిసరాలలో చురుకుగా ఉపయోగించుకుంటోంది. డేటా దొంగతనం లేదా రాన్సమ్‌వేర్ కోసం నిర్మించిన అనేక ఆధునిక దాడుల మాదిరిగా కాకుండా, ఈ ప్రచారం వేగవంతమైన, పెద్ద ఎత్తున వ్యాప్తి చెందడానికి ఆప్టిమైజ్ చేయబడింది - ఇది ఒకే రాజీపడిన డెస్క్‌టాప్ మరిన్ని ఇన్‌ఫెక్షన్లకు దారితీసే ఎంటర్‌ప్రైజ్ సందర్భాలలో ఇది చాలా ప్రమాదకరం.

SORVEPOTEL అంటే ఏమిటి

SORVEPOTEL అనేది స్వీయ-ప్రచారం చేసే Windows మాల్వేర్ కుటుంబం, ఇది సోషల్ ఇంజనీరింగ్ మరియు WhatsApp యొక్క డెస్క్‌టాప్/వెబ్ వెర్షన్‌ను ఉపయోగించి బాధితుడి పరిచయాలు మరియు సమూహాలకు హానికరమైన అటాచ్‌మెంట్‌లను పంపిణీ చేస్తుంది. దీని ప్రాథమిక లక్ష్యం తక్షణ డేటా తొలగింపు లేదా ఫైల్ ఎన్‌క్రిప్షన్ కాకుండా వేగవంతమైన వ్యాప్తి మరియు ఖాతా దుర్వినియోగం (స్పామ్ మరియు ఖాతా నిషేధాలకు దారితీస్తుంది)గా కనిపిస్తుంది.

బాధితులను ఎలా ఆకర్షిస్తారు

దాడి చేసేవారు రాజీపడిన WhatsApp పరిచయం నుండి లేదా కొన్ని సందర్భాల్లో, చట్టబద్ధమైన ఇమెయిల్‌తో ప్రారంభిస్తారు. సందేశంలో హానికరం కాని అంశం (ఉదాహరణకు, రసీదు లేదా ఆరోగ్య-యాప్ ఫైల్) వలె మారువేషంలో ఉన్న ZIP ఫైల్ ఉంటుంది. గ్రహీత డెస్క్‌టాప్‌లో ZIPని తెరిస్తే, సాధారణంగా ఈ క్రింది దశలు జరుగుతాయి:

• బాధితుడు ఆర్కైవ్ లోపల విండోస్ షార్ట్‌కట్ (LNK)ని ప్రారంభించేలా మోసగించబడ్డాడు.
• LNK నిశ్శబ్దంగా పవర్‌షెల్ ఆదేశాన్ని అమలు చేస్తుంది, ఇది బాహ్య హోస్ట్ నుండి తదుపరి దశ పేలోడ్‌ను డౌన్‌లోడ్ చేస్తుంది (గుర్తించబడిన ఉదాహరణ sorvetenopoate.com).

తిరిగి పొందిన పేలోడ్ అనేది బ్యాచ్ స్క్రిప్ట్, ఇది నిలకడను ఏర్పరుస్తుంది మరియు తదుపరి ఆదేశాలను అమలు చేస్తుంది.

అమలు వివరాలు మరియు స్థిరత్వ విధానాలు

ఇన్‌స్టాల్ చేసిన తర్వాత, బ్యాచ్ స్క్రిప్ట్ విండోస్ స్టార్టప్ ఫోల్డర్‌లోకి కాపీ అవుతుంది, తద్వారా ఇది సిస్టమ్ బూట్ తర్వాత స్వయంచాలకంగా అమలు అవుతుంది. ఫాలో-అప్ సూచనల కోసం లేదా అదనపు భాగాలను పొందడానికి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను సంప్రదించడానికి ఇది పవర్‌షెల్‌ను కూడా ప్రేరేపిస్తుంది. ఈ ప్రవర్తనలు మాల్వేర్ నివాసంగా ఉండటానికి మరియు ఆపరేటర్ల నుండి రిమోట్ ఆదేశాలను అంగీకరించడానికి వీలు కల్పిస్తాయి.

ప్రచార ఇంజిన్‌గా వాట్సాప్

SORVEPOTEL యొక్క ప్రధాన లక్షణం దాని WhatsApp-అవేర్ స్ప్రెడింగ్ రొటీన్. మాల్వేర్ WhatsApp వెబ్ (డెస్క్‌టాప్/వెబ్ క్లయింట్) ఇన్‌ఫెక్ట్ చేయబడిన మెషీన్‌లో యాక్టివ్‌గా ఉందని గుర్తిస్తే, అది అదే హానికరమైన జిప్‌ను వీటికి పంపిణీ చేయడాన్ని ఆటోమేట్ చేస్తుంది:

• రాజీపడిన ఖాతాకు లింక్ చేయబడిన అన్ని పరిచయాలు, మరియు
• ఖాతా చెందిన అన్ని సమూహాలు.

ఈ ఆటోమేటెడ్ డిస్ట్రిబ్యూషన్ చాలా ఎక్కువ మొత్తంలో అవుట్‌బౌండ్ స్పామ్‌ను ఉత్పత్తి చేస్తుంది, ఇది తరచుగా WhatsApp దుర్వినియోగ గుర్తింపును ప్రేరేపిస్తుంది మరియు ఖాతాలను సస్పెండ్ చేయడానికి లేదా నిషేధించడానికి దారితీస్తుంది.

స్కోప్ మరియు ఎవరు దెబ్బతిన్నారు

ఇప్పటివరకు ఈ ప్రచారం బ్రెజిల్‌లో ఎక్కువగా కేంద్రీకృతమై ఉంది: నమోదైన 477 ఇన్ఫెక్షన్లలో 457 అక్కడే ప్రారంభమయ్యాయి. లక్ష్యంగా చేసుకున్న సంస్థలు అనేక రంగాలను కలిగి ఉన్నాయి, ముఖ్యంగా:

• ప్రభుత్వం మరియు ప్రజా సేవలు
• తయారీ
• టెక్నాలజీ
• విద్య
• నిర్మాణం

ముఖ్యంగా, ఆపరేటర్లు సామూహిక డేటా దొంగతనం కోసం లేదా రాన్సమ్‌వేర్‌ను అమలు చేయడానికి పొందిన యాక్సెస్‌ను ఉపయోగించినట్లు కనిపించడం లేదు; గమనించదగ్గ ఫలితం దూకుడుగా ప్రచారం చేయడం మరియు ఖాతా దుర్వినియోగం.

అదనపు పంపిణీ వెక్టర్లు గమనించబడ్డాయి

వాట్సాప్ ఆధారిత సందేశాలు ప్రాథమిక ప్రచార మార్గం అయినప్పటికీ, దాడి చేసేవారు కూడా అదే హానికరమైన జిప్ జోడింపులను ఇమెయిల్ ద్వారా పంపిణీ చేస్తారని విశ్లేషకులు ఆధారాలను కనుగొన్నారు, కొన్నిసార్లు విశ్వసనీయతను పెంచడానికి చట్టబద్ధమైన పంపినవారి చిరునామాలను ఉపయోగిస్తారు.

ఈ ప్రచారం ఎందుకు ముఖ్యమైనది

SORVEPOTEL అనేది దాడి చేసేవారు ప్రధాన స్రవంతి కమ్యూనికేషన్ ప్లాట్‌ఫామ్‌లను ఉపయోగించి కనీస వినియోగదారు పరస్పర చర్యతో వారి పరిధిని పెంచుకునే ధోరణిని వివరిస్తుంది. విశ్వసనీయ పరిచయాన్ని మరియు WhatsApp వెబ్ సౌలభ్యాన్ని ఆయుధంగా ఉపయోగించడం ద్వారా, మాల్వేర్ అధునాతన డేటా-దొంగతనం భాగాలు అవసరం లేకుండా సంస్థలలో వేగంగా లాటరల్ ప్రచారాన్ని సాధిస్తుంది.

ముగింపు గమనిక

SORVEPOTEL అనేది సోషల్ ప్లాట్‌ఫారమ్‌లు మాల్వేర్‌కు ఆకర్షణీయమైన ప్రచార మార్గాలు అని గుర్తు చేస్తుంది. స్క్రిప్ట్ అమలును పరిమితం చేసే వేగవంతమైన గుర్తింపు, వినియోగదారు విద్య మరియు నియంత్రణలు మరియు డెస్క్‌టాప్‌లలో మెసేజింగ్ క్లయింట్‌లను పర్యవేక్షించడం ఈ ప్రచారం దోపిడీ చేసే దాడి ఉపరితలాన్ని గణనీయంగా తగ్గిస్తాయి.