SORVEPOTEL 惡意軟體

惡意軟體年Mezo年

翻譯為：

一個名為 SORVEPOTEL 的惡意軟體活動正在快速傳播，利用人們對 WhatsApp 的信任，在 Windows 環境中傳播。與許多以資料竊取或勒索軟體為目標的現代攻擊不同，該活動專門針對快速、大規模傳播進行了優化——這使其在企業環境中尤其危險，因為單一受感染的桌面可能引發更多感染。

SORVEPOTEL 是一個可自我傳播的 Windows 惡意軟體家族，它利用社交工程和 WhatsApp 的桌面/網頁版向受害者的聯絡人和群組分發惡意附件。其主要目標似乎是快速傳播和帳戶濫用（導致垃圾郵件和帳戶被封鎖），而不是立即竊取資料或加密檔案。

攻擊者首先會從被入侵的 WhatsApp 聯絡人入手，或者在某些情況下，從一封看似合法的電子郵件入手。郵件中包含一個偽裝成無害內容（例如收據或健康應用程式檔案）的 ZIP 檔案。如果收件者在桌面上開啟該 ZIP 文件，通常會發生以下步驟：

檢索到的有效負載是一個批次腳本，用於建立持久性並執行進一步的命令。

安裝後，批次腳本會將自身複製到 Windows 啟動資料夾中，以便在系統啟動後自動執行。它還會呼叫 PowerShell 聯絡命令與控制 (C2) 伺服器以取得後續指令或取得其他元件。這些行為使惡意軟體能夠駐留並接受來自操作員的遠端命令。

SORVEPOTEL 的核心功能之一是其 WhatsApp 感知傳播程序。如果惡意軟體偵測到 WhatsApp Web（桌面/Web 用戶端）在受感染的電腦上處於活動狀態，它就會自動將相同的惡意 ZIP 檔案分發到：

這種自動分發會產生大量的出站垃圾郵件，這通常會觸發 WhatsApp 的濫用檢測並導致帳戶被暫停或禁止。

迄今為止，該攻擊活動主要集中在巴西：記錄到的 477 例感染中，有 457 例源自巴西。攻擊目標涵蓋多個行業，特別是：

值得注意的是，運營商似乎並沒有利用獲得的存取權限進行大規模資料竊取或部署勒索軟體；可觀察到的結果是積極傳播和帳戶濫用。

儘管基於 WhatsApp 的訊息是主要的傳播途徑，但分析師發現有證據表明，攻擊者也透過電子郵件分發相同的惡意 ZIP 附件，有時使用看似合法的寄件者位址來增加可信度。

SORVEPOTEL 體現了一種趨勢：攻擊者利用主流通訊平台，以最少的使用者互動擴大攻擊範圍。此惡意軟體利用可信任聯絡人和 WhatsApp Web 的便利性，無需複雜的資料竊取元件，即可在組織內快速橫向傳播。

SORVEPOTEL 提醒我們，社群平台是惡意軟體極具吸引力的傳播管道。快速偵測、使用者教育以及限制腳本執行和監控桌面訊息用戶端的控制措施，將顯著減少該攻擊活動的攻擊面。

搜索