Nettsikkerhetsmiljøet har satt søkelyset på SORVEPOTEL, en skadelig programvare som sprer seg via WhatsApp Web og har klart å ekspandere raskt ved å bruke selve meldingsøkosystemet som en distribusjonskanal.
Data samlet inn av spesialister indikerer 477 lag har forpliktet seg (457 i Brasil), med innvirkning på både offentlig og privat sektor. Selv om det ikke er rapportert om filkryptering eller massedatatyveri i den første bølgen, Mønsteret med selvutbredelse er spesielt bekymringsfullt.
Hva er SORVEPOTEL, og hvorfor er det et problem?
Det er en Ormelignende skadelig programvare rettet mot Windows hvis hovedmål er å formere seg. I stedet for å presse eller utpresse informasjon fra starten av, søker å mette kommunikasjonskanaler og generere driftsavbrudd som kan påvirke organisasjoner, bedrifter og individuelle brukere.
Smittekjede: fra postnummer til C2-kontroll
Innbruddet begynner når offeret mottar en phishing-melding fra en allerede kompromittert kontakt, noe som inngir tillit. Denne meldingen inneholder en ZIP-fil forkledd som et legitimt dokument (kvitteringer, estimater eller medisinske rapporter).
Gjemt inne i ZIP-filen er en Windows-snarvei (.LNK) som starter en PowerShell-skript for å laste ned den skadelige nyttelasten fra eksterne servere. Etter kjøring, skadevaren angi persistens i hjemmemappen og kommuniserer med kommando- og kontrollinfrastruktur (C2) for å motta instruksjoner.
Bruk av WhatsApp Web som et springbrett
Et av de særegne trekkene er dens Mulighet til å oppdage åpne WhatsApp-økter i nettleserenHvis den er aktiv, videresender koden den samme infiserte postnummeret til kontakter og grupper fra den kompromitterte kontoen, uten brukerinteraksjon.
Denne massesendingen forårsaker et unormalt antall meldinger som kan føre til Midlertidige kontosuspensjoner for brudd på plattformregler, i tillegg til å akselerere spredningen til nye ofre.
Omfang, regioner og sektorer som berøres
De tilgjengelige tallene peker på 477 bekreftede infeksjoner, med en betydelig konsentrasjon i Brasil (457 hendelser)Blant sektorene som er nådd er: myndigheter, offentlige tjenester, teknologi, utdanning, produksjon og bygg og anlegg.
Koden inneholder miljøkontroller (tidssone, språk, region) for å fungere primært på brasilianske systemer, men Vektorens (meldings) natur letter dens hopp til andre landKampanjen har også blitt omtalt som Vann Saci av noen analytikere.
Ytterligere funksjoner oppdaget
Selv om det første målet er å utvide, har det blitt observert komplementære moduler for økonomiske formål, som for eksempel Maverick.StageTwo (bankovervåking) og Maverick.Agent (innhenting av legitimasjon og overlegg utgi seg for å være banksider). Det er ingen bevis for masseutvinning i den innledende fasen., men tilstedeværelsen av disse komponentene øker risikoen.
Tekniske indikatorer å følge med på
For tekniske team og SOC-team finnes det mønstre som kan bidra til å identifisere aktiviteten til denne skadelige programvaren, og kutt angrepskjeden raskt:
- Records ZIP med .LNK-snarveier i stedet for ekte dokumenter.
- Bruk av Obfuskert PowerShell for nedlasting og utførelse av nyttelasten.
- Persistens i Windows oppstartsmapper y Kjør-taster.
- Trafikk mot lokkefugldomener kontrollert av angripere (f.eks. navn som ligner på legitime tjenester).
- Verifisering av det regionale miljøet før du aktiverer avanserte funksjoner.
Kombinasjonen av LNK + PowerShell + C2 og bruken av WhatsApp Web som multiplikator er spesielt særegne trekk sammenlignet med andre kampanjer.
Hvordan redusere risiko hjemme og på jobb
Eksperter anbefaler å styrke digitale hygienevaner og anvende grunnleggende tekniske kontroller, med særlig vekt på Vedleggshåndtering og bruk av WhatsApp Web i arbeidsteam.
- Slå av automatiske nedlastinger på WhatsApp og unngå å åpne uventede postfiler, selv om de kommer fra kjente kontakter.
- Begrens eller overvåk WhatsApp Web i bedriftsmiljøer; overvåke massevideresending.
- Forkaste EDR/antivirus i stand til å oppdage LNK og PowerShell ondsinnet og blokkere mistenkelig oppførsel.
- Overvåking DNS/HTTP(S) til kjente C2-domener eller IP-adresser og bruk blokkeringslister.
- Videreutdanning i phishing og sosial manipulering for hele staben.
- Hold systemer og oppdateringer oppdatert på endepunkter og nettlesere.
I organisasjoner bidrar det også til å etablere retningslinjer for vedleggskontroll og valideringsflyter ved mottak av sensitive filer via meldinger.
Hva du skal gjøre hvis du allerede er berørt
Ved indikasjoner (automatisk videresending, suspensjonsvarsler eller merkelig aktivitet) anbefales det å utføre en protokoll. inneslutning og utbedring umiddelbart.
- Lukk øktene fra WhatsApp Web fra mobilen din (Innstillinger > Tilkoblede enheter) og endre PIN-koden/låsen hvis aktuelt.
- Analyser utstyret med en løsning mot skadelig programvare oppdatert og fjerner persistens i hjemmemapper.
- gjennomgang oppstartsprogrammer, planlagte oppgaver og mistenkelige LNK/PowerShell-relaterte registeroppføringer.
- Slett filer Postnummer/midlertidig nylig nedlastet og tøm papirkurven.
- La kontaktene dine få vite det ikke åpne ZIP-filen som kan ha blitt mottatt fra kontoen din.
Hvis du administrerer et bedriftsnettverk, legg til IOC-blokker ved perimeterkontroller og rapportere hendelsen til riktig CERT for å legge til rette for en koordinert respons.
De tilgjengelige bevisene peker mot en kampanje som prioriterer storskala formidling gjennom WhatsApp Web, med Brasil som episenter og potensial for spredning til andre land; å kjenne angrepskjeden (ZIP+LNK+PowerShell+C2), begrense bruken av nettversjonen på arbeidsdatamaskiner og forsterke verifiseringen av vedlegg er enkle tiltak som redusere risikoflaten betydelig.
