- Автор темы
- #1
Аналитики Trend Micro предупредили, что бразильские пользователи WhatsApp стали целью новой самораспространяющейся малвари SORVEPOTEL, ориентированной на заражение Windows-систем.
По словам специалистов, атака построена с упором на скорость и масштаб распространения, а не хищение данных или вымогательство. SORVEPOTEL распространяется через правдоподобные фишинговые сообщения с вредоносными архивами ZIP, замаскированными под чеки или приложения для здоровья. Примечательно, что фишинговые вложения предназначены для открытия на ПК, то есть злоумышленники, по всей видимости, больше интересуются корпоративными целями, а не рядовыми пользователями.
После открытия вредоносного вложения малварь автоматически распространяется через WhatsApp Web на ПК: зараженный аккаунт рассылает файлы ZIP всем контактам и группам, что ведет к массовому спаму и часто заканчивается блокировкой аккаунта жертвы за нарушение правил мессенджера.
Отмечается, что на данный момент нет никаких признаков того, что операторы этой кампании используют доступ к зараженным системам для кражи данных или шифрования файлов.
Большинство заражений (457 из 477) SORVEPOTEL было зафиксировано в Бразилии. Чаще всего от атак страдают госучреждения, а также организации из сферы госуслуг, производства, технологий, образования и строительства.
Если жертва открывает вредоносное вложение, ее подталкивают запустить Windows-ярлык (LNK). При его запуске незаметно выполняется PowerShell-скрипт, который загружает основной модуль малвари с внешнего сервера (например, sorvetenopoate[.]com).
Загруженный модуль представляет собой batch-скрипт, который отвечает за закрепление в системе: он копирует себя в папку автозапуска Windows, чтобы запускаться после старта системы. Кроме того, скрипт выполняет PowerShell-команду, обращающуюся к управляющему серверу злоумышленников за дальнейшими инструкциями или дополнительными компонентами.
В Trend Micro резюмируют: пример SORVEPOTEL наглядно показывает, что злоумышленники все чаще используют популярные коммуникационные платформы (такие как WhatsApp) для быстрого и массового распространения малвари при минимальном взаимодействии с пользователем.
По словам специалистов, атака построена с упором на скорость и масштаб распространения, а не хищение данных или вымогательство. SORVEPOTEL распространяется через правдоподобные фишинговые сообщения с вредоносными архивами ZIP, замаскированными под чеки или приложения для здоровья. Примечательно, что фишинговые вложения предназначены для открытия на ПК, то есть злоумышленники, по всей видимости, больше интересуются корпоративными целями, а не рядовыми пользователями.
После открытия вредоносного вложения малварь автоматически распространяется через WhatsApp Web на ПК: зараженный аккаунт рассылает файлы ZIP всем контактам и группам, что ведет к массовому спаму и часто заканчивается блокировкой аккаунта жертвы за нарушение правил мессенджера.
Отмечается, что на данный момент нет никаких признаков того, что операторы этой кампании используют доступ к зараженным системам для кражи данных или шифрования файлов.
Большинство заражений (457 из 477) SORVEPOTEL было зафиксировано в Бразилии. Чаще всего от атак страдают госучреждения, а также организации из сферы госуслуг, производства, технологий, образования и строительства.
Если жертва открывает вредоносное вложение, ее подталкивают запустить Windows-ярлык (LNK). При его запуске незаметно выполняется PowerShell-скрипт, который загружает основной модуль малвари с внешнего сервера (например, sorvetenopoate[.]com).
Загруженный модуль представляет собой batch-скрипт, который отвечает за закрепление в системе: он копирует себя в папку автозапуска Windows, чтобы запускаться после старта системы. Кроме того, скрипт выполняет PowerShell-команду, обращающуюся к управляющему серверу злоумышленников за дальнейшими инструкциями или дополнительными компонентами.
В Trend Micro резюмируют: пример SORVEPOTEL наглядно показывает, что злоумышленники все чаще используют популярные коммуникационные платформы (такие как WhatsApp) для быстрого и массового распространения малвари при минимальном взаимодействии с пользователем.