Ваш друг прислал ZIP-файл в WhatsApp? Он уже заражен, и вы следующий
NewsMakerСотни компаний поразил SORVEPOTEL. Он не крадет данные. Не требует выкуп. Только бесконечно множится.
Исследователи Trend Micro зафиксировали масштабную кампанию вредоносного ПО, нацеленного на пользователей из Бразилии. Распространение ведётся через десктопную версию WhatsApp и отличается высокой скоростью заражения. Вредонос, получивший внутреннее имя SORVEPOTEL, не занимается кражей данных или шифрованием, как это характерно для шпионских или вымогательских программ. Его главная задача — как можно быстрее размножиться и заразить новые системы.
Заражение начинается с фишингового сообщения, поступающего от уже скомпрометированного контакта в WhatsApp. Это создаёт иллюзию подлинности и побуждает жертву открыть вложенный ZIP-файл. Файл замаскирован под безобидный документ — например, квитанцию или файл, якобы связанный с медицинским приложением. Согласно данным Trend Micro, в некоторых случаях аналогичный ZIP-архив также распространялся по электронной почте с поддельных, но внешне правдоподобных адресов.
Как только пользователь открывает архив, его внимание переключается на вложенный ярлык (LNK-файл), предназначенный для Windows. Запуск этого ярлыка незаметно активирует PowerShell-скрипт , который связывается с внешним сервером (например,
Центральным элементом всей схемы является механизм распространения через WhatsApp Web. Если вредонос обнаруживает, что веб-версия мессенджера активна на заражённой машине, он автоматически рассылает тот же ZIP-файл всем контактам и чат-группам пользователя. Такой метод самораспространения через WhatsApp позволяет вредоносной программе стремительно охватывать всё новые и новые системы, практически без участия человека.
По данным Trend Micro, «эта автоматическая рассылка приводит к большому количеству спам-сообщений и часто заканчивается тем, что WhatsApp блокирует скомпрометированный аккаунт за нарушение условий использования». Исследователи отмечают, что операторов кампании, по всей видимости, интересует именно масштаб заражения, а не доступ к конфиденциальной информации. Признаков кражи данных или шифрования файлов обнаружено не было.
Из 477 зафиксированных случаев заражения 457 пришлись на Бразилию. Под удар попали государственные структуры, организации в сфере образования, промышленности, технологий, строительства и коммунального сектора. Исследователи подчёркивают, что текст фишингового сообщения рассчитан на открытие именно на компьютере, что может свидетельствовать о фокусе атаки на бизнес-среду, а не на обычных пользователей.
«SORVEPOTEL демонстрирует, как киберпреступники всё чаще используют популярные коммуникационные платформы вроде WhatsApp для быстрого и масштабного распространения вредоносного ПО с минимальным вовлечением жертвы», — резюмируют в Trend Micro.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Исследователи Trend Micro зафиксировали масштабную кампанию вредоносного ПО, нацеленного на пользователей из Бразилии. Распространение ведётся через десктопную версию WhatsApp и отличается высокой скоростью заражения. Вредонос, получивший внутреннее имя SORVEPOTEL, не занимается кражей данных или шифрованием, как это характерно для шпионских или вымогательских программ. Его главная задача — как можно быстрее размножиться и заразить новые системы.
Заражение начинается с фишингового сообщения, поступающего от уже скомпрометированного контакта в WhatsApp. Это создаёт иллюзию подлинности и побуждает жертву открыть вложенный ZIP-файл. Файл замаскирован под безобидный документ — например, квитанцию или файл, якобы связанный с медицинским приложением. Согласно данным Trend Micro, в некоторых случаях аналогичный ZIP-архив также распространялся по электронной почте с поддельных, но внешне правдоподобных адресов.
Как только пользователь открывает архив, его внимание переключается на вложенный ярлык (LNK-файл), предназначенный для Windows. Запуск этого ярлыка незаметно активирует PowerShell-скрипт , который связывается с внешним сервером (например,
sorvetenopoate[.]com) и загружает основной вредоносный компонент. Полученный скрипт прописывается в автозагрузку через системную папку Windows Startup, чтобы запускаться автоматически при каждой перезагрузке. Он также содержит PowerShell-команду для обращения к серверу управления (C2) за дополнительными инструкциями или загрузкой других вредоносных модулей. Центральным элементом всей схемы является механизм распространения через WhatsApp Web. Если вредонос обнаруживает, что веб-версия мессенджера активна на заражённой машине, он автоматически рассылает тот же ZIP-файл всем контактам и чат-группам пользователя. Такой метод самораспространения через WhatsApp позволяет вредоносной программе стремительно охватывать всё новые и новые системы, практически без участия человека.
По данным Trend Micro, «эта автоматическая рассылка приводит к большому количеству спам-сообщений и часто заканчивается тем, что WhatsApp блокирует скомпрометированный аккаунт за нарушение условий использования». Исследователи отмечают, что операторов кампании, по всей видимости, интересует именно масштаб заражения, а не доступ к конфиденциальной информации. Признаков кражи данных или шифрования файлов обнаружено не было.
Из 477 зафиксированных случаев заражения 457 пришлись на Бразилию. Под удар попали государственные структуры, организации в сфере образования, промышленности, технологий, строительства и коммунального сектора. Исследователи подчёркивают, что текст фишингового сообщения рассчитан на открытие именно на компьютере, что может свидетельствовать о фокусе атаки на бизнес-среду, а не на обычных пользователей.
«SORVEPOTEL демонстрирует, как киберпреступники всё чаще используют популярные коммуникационные платформы вроде WhatsApp для быстрого и масштабного распространения вредоносного ПО с минимальным вовлечением жертвы», — резюмируют в Trend Micro.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.