Braziliaanse gebruikers zijn naar voren gekomen als het doelwit van een nieuwe zelfpropagerende malware die zich verspreidt via de populaire berichten-app WhatsApp.
De campagne, codenaam Sorvepotel Door Trend Micro, bewapent het vertrouwen met het platform om zijn bereik over Windows -systemen uit te breiden, het toevoegen van de aanval is “ontwikkeld voor snelheid en verspreiding” in plaats van gegevensdiefstal of ransomware.
“Sorvepotel is waargenomen om zich over Windows -systemen te verspreiden door overtuigende phishing -berichten te overtuigen met kwaadwillende zip -bestandsbijlagen,” zei onderzoekers Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, CJ Arsley Mateo, Jacob Santos en Paul John Bardon.
“Interessant is dat het phishing -bericht dat de kwaadaardige bestandsbijlage bevat, vereist dat gebruikers het op een bureaublad openen, wat suggereert dat dreigingsactoren misschien meer geïnteresseerd zijn in het richten van ondernemingen dan op consumenten.”
Nadat de bijlage is geopend, verspreidt de malware automatisch via de Desktop -webversie van WhatsApp, waardoor de geïnfecteerde accounts uiteindelijk worden verboden voor het overdreven spam. Er zijn geen aanwijzingen dat de dreigingsactoren de toegang tot exfiltratiegegevens hebben benut of bestanden gecodeerd.
De overgrote meerderheid van de infecties – 457 van de 477 gevallen – zijn geconcentreerd in Brazilië, met entiteiten in de overheid, openbare dienstverlening, productie, technologie, onderwijs en bouwsectoren, het meest beïnvloed.
Het startpunt van de aanval is een phishing -bericht dat wordt verzonden vanuit een reeds gecompromitteerd contact op WhatsApp om het een fineer van geloofwaardigheid te geven. Het bericht bevat een zip-bijlage die zich voordoet als een schijnbaar onschadelijk ontvangstbewijs of gezondheids-gerelateerd bestand.
Dat gezegd hebbende, er zijn aanwijzingen dat de operators achter de campagne ook e -mails hebben gebruikt om de ZIP -bestanden te verspreiden uit schijnbaar legitieme e -mailadressen.
Als de ontvanger voor de truc valt en de bijlage opent, worden ze gelokt in het openen van een Windows Shortcut (LNK) -bestand dat, wanneer het wordt gelanceerd, de uitvoering van een PowerShell -script in stilte activeert die verantwoordelijk is voor het ophalen van de belangrijkste lading van een externe server (bijv. Sorvetenopoate (.) COM).
De gedownloade payload is een batchscript dat is ontworpen om doorzettingsvermogen op de host vast te stellen door zichzelf naar de Windows Startup -map te kopiëren, zodat deze automatisch wordt gelanceerd na een systeemstart. Het is ook ontworpen om een PowerShell-opdracht uit te voeren dat een opdracht-en-controle (C2) -server reikt om verdere instructies of extra kwaadaardige componenten op te halen.
Centraal in Sorvepotel-operaties staat het WhatsApp-gerichte voortplantingsmechanisme. Als de malware detecteert dat WhatsApp -web actief is op het geïnfecteerde systeem, gaat het verder met het distribueren van het kwaadaardige zip -bestand naar alle contacten en groepen die verband houden met het gecompromitteerde account van het slachtoffer, waardoor het zich snel kan verspreiden.
“Deze geautomatiseerde spreiding resulteert in een groot aantal spamberichten en leidt vaak tot accountophangingen of verboden vanwege schendingen van de servicevoorwaarden van WhatsApp,” zei Trend Micro.
“De Sorvepotel-campagne laat zien hoe dreigingsactoren in toenemende mate gebruik maken van populaire communicatieplatforms zoals WhatsApp om snelle, grootschalige malware-verspreiding te bereiken met minimale gebruikersinteractie.”
