Новое самораспространяющееся вредоносное ПО под названием SORVEPOTEL атакует пользователей операционных систем Windows, используя для своего распространения мессенджер WhatsApp. Основная цель вируса — максимально быстрая саморепликация путем захвата сессии WhatsApp Web и рассылки спама по списку контактов жертвы. Такая активность приводит к быстрой блокировке аккаунта WhatsApp инфицированного пользователя за нарушение правил сервиса.
Вредоносная программа SORVEPOTEL целенаправленно «спроектирована для скорости и распространения». В отличие от большинства современных угроз, она не пытается похитить данные, зашифровать файлы с целью выкупа или установить шпионское ПО. Единственной задачей вируса является его лавинообразное распространение, что делает его уникальным и крайне разрушительным для репутации и коммуникационных возможностей жертвы.
Атака начинается с получения убедительного фишингового сообщения, которое часто приходит от уже скомпрометированного контакта, что повышает уровень доверия. Сообщение содержит вредоносный ZIP-архив, замаскированный под безобидный документ, например, квитанцию или файл, связанный с приложением для здоровья. Также зафиксированы случаи распространения этих архивов через электронную почту с адресов, выглядящих легитимными.
Ключевой особенностью кампании является требование открыть полученный файл на настольном компьютере. Это указывает на то, что основной целью злоумышленников являются корпоративные пользователи и предприятия, а не рядовые владельцы смартфонов.
После распаковки ZIP-архива пользователь видит файл-ярлык Windows (LNK). Запуск этого ярлыка незаметно для пользователя активирует скрипт PowerShell. Этот скрипт, в свою очередь, подключается к внешнему серверу, например,
После успешной загрузки вредоносное ПО выполняет команду PowerShell для связи с командно-контрольным сервером (C2). Через этот канал оно получает дальнейшие инструкции или загружает дополнительные вредоносные компоненты, необходимые для следующего этапа атаки.
Ключевой механизм распространения активируется, когда SORVEPOTEL обнаруживает активную сессию WhatsApp Web на зараженном компьютере. Вирус перехватывает управление и начинает автоматическую рассылку вредоносного ZIP-архива всем контактам и группам, находящимся в учетной записи жертвы. Это приводит к экспоненциальному росту числа заражений без какого-либо дальнейшего участия пользователя.
Согласно данным, было зафиксировано 477 случаев заражения. Географически кампания сконцентрирована на одной стране: 457 из 477 инцидентов произошли в Бразилии.
Наиболее пострадавшими секторами экономики стали правительственные и государственные службы, а также сферы производства, технологий, образования и строительства.
Кампания была обнаружена и проанализирована специалистами компании Trend Micro, которые и присвоили ей кодовое название SORVEPOTEL. В составлении отчета об угрозе принимали участие исследователи Джеффри Фрэнсис Бонаобра, Маристель Поликарпио, София Нилетт Роблес, СиДжей Арсли Матео, Джейкоб Сантос и Пол Джон Бардон.
Кампания SORVEPOTEL является ярким примером современной тенденции в киберугрозах. Злоумышленники все чаще используют популярные и пользующиеся доверием коммуникационные платформы, такие как WhatsApp, для достижения массового и стремительного распространения вредоносного программного обеспечения.
Изображение носит иллюстративный характер
Вредоносная программа SORVEPOTEL целенаправленно «спроектирована для скорости и распространения». В отличие от большинства современных угроз, она не пытается похитить данные, зашифровать файлы с целью выкупа или установить шпионское ПО. Единственной задачей вируса является его лавинообразное распространение, что делает его уникальным и крайне разрушительным для репутации и коммуникационных возможностей жертвы.
Атака начинается с получения убедительного фишингового сообщения, которое часто приходит от уже скомпрометированного контакта, что повышает уровень доверия. Сообщение содержит вредоносный ZIP-архив, замаскированный под безобидный документ, например, квитанцию или файл, связанный с приложением для здоровья. Также зафиксированы случаи распространения этих архивов через электронную почту с адресов, выглядящих легитимными.
Ключевой особенностью кампании является требование открыть полученный файл на настольном компьютере. Это указывает на то, что основной целью злоумышленников являются корпоративные пользователи и предприятия, а не рядовые владельцы смартфонов.
После распаковки ZIP-архива пользователь видит файл-ярлык Windows (LNK). Запуск этого ярлыка незаметно для пользователя активирует скрипт PowerShell. Этот скрипт, в свою очередь, подключается к внешнему серверу, например,
sorvetenopoate[.]com, и загружает основную вредоносную нагрузку в систему. После успешной загрузки вредоносное ПО выполняет команду PowerShell для связи с командно-контрольным сервером (C2). Через этот канал оно получает дальнейшие инструкции или загружает дополнительные вредоносные компоненты, необходимые для следующего этапа атаки.
Ключевой механизм распространения активируется, когда SORVEPOTEL обнаруживает активную сессию WhatsApp Web на зараженном компьютере. Вирус перехватывает управление и начинает автоматическую рассылку вредоносного ZIP-архива всем контактам и группам, находящимся в учетной записи жертвы. Это приводит к экспоненциальному росту числа заражений без какого-либо дальнейшего участия пользователя.
Согласно данным, было зафиксировано 477 случаев заражения. Географически кампания сконцентрирована на одной стране: 457 из 477 инцидентов произошли в Бразилии.
Наиболее пострадавшими секторами экономики стали правительственные и государственные службы, а также сферы производства, технологий, образования и строительства.
Кампания была обнаружена и проанализирована специалистами компании Trend Micro, которые и присвоили ей кодовое название SORVEPOTEL. В составлении отчета об угрозе принимали участие исследователи Джеффри Фрэнсис Бонаобра, Маристель Поликарпио, София Нилетт Роблес, СиДжей Арсли Матео, Джейкоб Сантос и Пол Джон Бардон.
Кампания SORVEPOTEL является ярким примером современной тенденции в киберугрозах. Злоумышленники все чаще используют популярные и пользующиеся доверием коммуникационные платформы, такие как WhatsApp, для достижения массового и стремительного распространения вредоносного программного обеспечения.
