SORVEPOTEL 恶意软件

通过Mezo在恶意软件

翻译为：

一个名为 SORVEPOTEL 的恶意软件活动正在快速传播，利用人们对 WhatsApp 的信任，在 Windows 环境中进行传播。与许多以数据窃取或勒索软件为目标的现代攻击不同，该活动专门针对快速、大规模传播进行了优化——这使其在企业环境中尤其危险，因为单个受感染的桌面就可能引发更多感染。

SORVEPOTEL 是一个可自我传播的 Windows 恶意软件家族，它利用社交工程和 WhatsApp 的桌面/网页版向受害者的联系人和群组分发恶意附件。其主要目标似乎是快速传播和账户滥用（导致垃圾邮件和账户被封禁），而不是立即窃取数据或加密文件。

攻击者首先会从被入侵的 WhatsApp 联系人入手，或者在某些情况下，从一封看似合法的电子邮件入手。邮件中包含一个伪装成无害内容（例如收据或健康应用程序文件）的 ZIP 文件。如果收件人在桌面上打开该 ZIP 文件，通常会发生以下步骤：

检索到的有效负载是一个批处理脚本，用于建立持久性并执行进一步的命令。

安装后，批处理脚本会将自身复制到 Windows 启动文件夹中，以便在系统启动后自动运行。它还会调用 PowerShell 联系命令与控制 (C2) 服务器以获取后续指令或获取其他组件。这些行为使恶意软件能够驻留并接受来自操作员的远程命令。

SORVEPOTEL 的核心功能之一是其 WhatsApp 感知传播程序。如果恶意软件检测到 WhatsApp Web（桌面/Web 客户端）在受感染的计算机上处于活动状态，它就会自动将相同的恶意 ZIP 文件分发到：

这种自动分发会产生大量的出站垃圾邮件，这通常会触发 WhatsApp 的滥用检测并导致帐户被暂停或禁止。

迄今为止，该攻击活动主要集中在巴西：记录到的 477 例感染中，有 457 例源自巴西。攻击目标涵盖多个行业，特别是：

值得注意的是，运营商似乎并没有利用获得的访问权限进行大规模数据盗窃或部署勒索软件；可观察到的结果是积极传播和帐户滥用。

尽管基于 WhatsApp 的消息是主要的传播途径，但分析人士发现有证据表明，攻击者也通过电子邮件分发相同的恶意 ZIP 附件，有时使用看似合法的发件人地址来增加可信度。

SORVEPOTEL 体现了一种趋势：攻击者利用主流通信平台，以最少的用户交互扩大攻击范围。该恶意软件利用可信联系人和 WhatsApp Web 的便捷性，无需复杂的数据窃取组件，即可在组织内实现快速横向传播。

SORVEPOTEL 提醒我们，社交平台是恶意软件极具吸引力的传播渠道。快速检测、用户教育以及限制脚本执行和监控桌面消息客户端的控制措施，将显著减少该攻击活动的攻击面。

搜索