Общността по киберсигурност насочи вниманието към SORVEPOTEL, зловреден софтуер, който се разпространява чрез WhatsApp Web и успя бързо да се разшири, като използва самата екосистема за съобщения като канал за дистрибуция.
Данните, събрани от специалисти, показват 477 отбора са се ангажирали (457 в Бразилия), с въздействие както върху публичния, така и върху частния сектор. Въпреки че през първата вълна не е съобщено за криптиране на файлове или масова кражба на данни, Моделът на саморазпространение е особено тревожен.
Какво е SORVEPOTEL и защо е проблем?
Това е Зловреден софтуер, подобен на червей, насочен към Windows чиято основна цел е да се размножава. Вместо да изнудва или извлича информация от самото начало, стреми се да насити комуникационните канали и да генерира оперативни прекъсвания които могат да засегнат организации, компании и отделни потребители.
Верига на инфекцията: от ZIP до C2 контрол
Нахлуването започва, когато жертвата получи фишинг съобщение от вече компрометиран контакт, нещо, което вдъхва увереност. Това съобщение включва ZIP файл, прикрит като легитимен документ (касови бележки, оценки или медицински доклади).
Скрит във вътрешността на ZIP файла е пряк път за Windows (.LNK), който стартира PowerShell скрипт за изтегляне на злонамерен полезен товар от външни сървъри. След изпълнение, зловредният софтуер задайте постоянство в домашната папка и комуникира с инфраструктурата за командване и контрол (C2), за да получава инструкции.
Използване на WhatsApp Web като трамплин
Една от отличителните черти е нейната Възможност за откриване на отворени сесии на WhatsApp в браузъраАко е активен, кодът препраща същия заразен пощенски адрес към контакти и групи от компрометирания акаунт, без взаимодействие с потребителя.
Това масово изпращане причинява аномален обем съобщения, което може да доведе до Временно спиране на акаунти за нарушаване на правилата на платформата, освен че ускорява разпространението към нови жертви.
Обхват, засегнати региони и сектори
Наличните данни сочат към 477 потвърдени инфекции, със забележителна концентрация в Бразилия (457 инцидента)Сред достигнатите сектори са: правителство, обществени услуги, технологии, образование, производство и строителство.
Кодът включва контроли за среда (часова зона, език, регион), за да действа предимно в бразилските системи, но Характерът на вектора (съобщенията) улеснява неговото разпространение в други страниКампанията е наричана още Воден Сачи от някои анализатори.
Открити са допълнителни възможности
Въпреки че първата цел е разширяване, наблюдава се допълнителни модули за финансови цели, като например Maverick.StageTwo (мониторинг на банки) и Maverick.Agent (събиране на идентификационни данни и наслагвания представяйки се за банкови страници). Няма данни за масова ексфилтрация в началната фаза., но наличието на тези компоненти увеличава риска.
Технически индикатори, които да наблюдавате
За техническите екипи и екипите по поддръжка на системата (SOC) съществуват модели, които могат да помогнат за идентифициране на активността на този зловреден софтуер. бързо прекъснете веригата на атаките:
- записи ZIP с .LNK преки пътища вместо истински документи.
- Използване на Обфускиран PowerShell за изтегляне и изпълнение на полезния товар.
- Упоритост в Стартови папки на Windows y Изпълнете ключове.
- Трафик към домейни-примамки контролирани от нападатели (напр. имена, подобни на легитимни услуги).
- Проверка на регионалната среда преди да активирате разширените функции.
Комбинацията от LNK + PowerShell + C2 и използването на WhatsApp Web като мултипликатор са особено отличителни характеристики в сравнение с други кампании.
Как да намалим риска у дома и на работното място
Експертите препоръчват засилване на навиците за дигитална хигиена и прилагане на основни технически контроли, като се обърне специално внимание на Управление на прикачени файлове и използване на WhatsApp Web в работните екипи.
- Изключете автоматичното изтегляне в WhatsApp и избягвайте отварянето на неочаквани ZIP файлове, дори ако идват от познати контакти.
- Ограничаване или наблюдение на WhatsApp Web в корпоративна среда; наблюдавайте масово препращане.
- Отървавам се от EDR/антивирусна програма способен да открие LNK и PowerShell злонамерени и блокират подозрително поведение.
- Монитор DNS/HTTP(S) за известни C2 домейни или IP адреси и прилагайте списъци за блокиране.
- Продължаващо обучение в фишинг и социално инженерство за целия персонал.
- Поддържайте системите и корекциите актуални на крайни точки и браузъри.
В организациите това помага и за установяването правила за контрол на прикачените файлове и процеси на валидиране при получаване на чувствителни файлове чрез съобщения.
Какво да направите, ако вече сте засегнати
В случай на някакви индикации (автоматично пренасочване, известия за спиране или странна активност), препоръчително е да се състави протокол. ограничаване и отстраняване de inmediato.
- Затворете сесиите от WhatsApp Web на мобилното си устройство (Настройки > Свързани устройства) и променете ПИН/Заключването, ако е приложимо.
- Анализирайте оборудването с решение против злонамерен софтуер актуализирано и премахва запазването в домашните папки.
- преглед стартиращи програми, планирани задачи и подозрителни записи в системния регистър, свързани с LNK/PowerShell.
- Изчистване на файлове Пощенски код/временен наскоро изтеглени и изпразнете кошчето.
- Уведомете контактите си, че не отваряйте ципа които може да са били получени от вашия акаунт.
Ако управлявате корпоративна мрежа, добавете Блокове на МОК на периметърните контролни пунктове и докладване на инцидента на съответния CERT, за да се улесни координираната реакция.
Наличните доказателства сочат към кампания, която дава приоритет на широкомащабно разпространение чрез WhatsApp Web, като Бразилия е епицентър и потенциал за разпространение в други страни; познаването на веригата за атаки (ZIP+LNK+PowerShell+C2), ограничаването на използването на уеб версията на служебните компютри и засилването на проверката на прикачени файлове са прости мерки, които значително намаляват рисковата повърхност.
