Изследователи от Trend Micro откриха нова кампания с самораспространяващ се зловреден софтуер, кръстена SORVEPOTEL, която използва доверена комуникационна платформа — WhatsApp — за бързо разпространение към Windows системи. Целта на оператора е скоростта и масовото заразяване, а не пряко извличане на данни или рансъмуер.
Как работи инфекцията
Атаката започва с фишинг съобщение, изпратено от вече компрометиран контакт в WhatsApp, което включва ZIP прикачен файл, маскиран като касова бележка или файл от здравно приложение. Има и доказателства, че ZIP файловете са разпращани и по имейл от изглеждащи легитимни адреси.
При отваряне на архива жертвата бива подканена да стартира Windows шорткът (LNK) файл. Той тихо стартира PowerShell скрипт, който изтегля основния полезен товар от външен сървър (примерно sorvetenopoate[.]com). Изтегленият пакет съдържа batch скрипт, който:
-
установява персистентност, като копира себе си в папката за стартиране на Windows;
-
изпълнява PowerShell команда за връзка към командно-контролен (C2) сървър и получаване на допълнителни инструкции или компоненти.
Автоматично разпространение чрез WhatsApp Web
Ключовият механизъм на SORVEPOTEL е автоматичното разпращане на зловредния ZIP към всички контакти и групи на компрометирания акаунт чрез WhatsApp Web, когато тя е активна на засегнатия десктоп. Това води до експлозивно, автоматизирано разпространение и бързи вълни от спам, като в много случаи засегнатите акаунти биват блокирани или забранени заради масовите нарушения на правилата на WhatsApp.
Засегнати сектори и география
От общо 477 регистрирани инцидента 457 са отчетени в Бразилия. Най-силно засегнати са организации в държавния сектор, обществени услуги, производство, технологии, образование и строителство. Изследователите отбелязват, че кампанията е проектирана така, че да насърчава отваряне на прикачените файлове на десктоп — индикация, че атакуващите може да таргетират по-скоро предприятия, отколкото консуматори.
Защо това е опасно
SORVEPOTEL показва как модерните заплахи използват легитимни комуникационни платформи за масово заразяване с минимална човешка намеса. Дори ако атаката не цели директно кражба на данни, автоматизираната дистрибуция може да компрометира корпоративни мрежи, да доведе до загуба на доверие и оперативни смущения, или до блокиране на бизнес акаунти.
Препоръки за защита и смекчаване на риска
-
Не отваряйте прикачени ZIP/ LNK файлове от контакти в WhatsApp без потвърждение чрез друг, надежден канал.
-
Ограничете или деактивирайте използването на WhatsApp Web на служебни десктопи, освен ако не е абсолютна необходимост.
-
Обучете персонала за фишинг техники и рисковете от стартиране на LNK/скриптови файлове.
-
Внедрете строг контрол върху изпълнението на PowerShell и скриптови политики (скрипт-белист/блокиране, Constrained Language режим).
-
Ползвайте актуален endpoint detection and response (EDR) и антивирусни решения с поведенчески детекции.
-
Активирайте разделяне на привилегиите и политики за минимален достъп; следете и ограничете приложенията, които могат да пишат в папката Startup.
-
Извършвайте мониторинг за необичайна активност на потребителски акаунти и автоматични опити за масово спам-разпространение.
