Virusvarning på WhatsApp Web: så här reagerar SORVEPOTEL

  • SORVEPOTEL-skadlig programvara använder ZIP-filer med LNK och PowerShell för att infektera Windows-datorer.
  • 477 infektioner har registrerats, varav 457 fall koncentrerade till Brasilien.
  • Han använder WhatsApp Web för att skicka sig själv till kontakter och grupper, vilket orsakar avstängningar.
  • Inaktivera automatiska nedladdningar, undvik misstänkta ZIP-filer och begränsa WhatsApp Web i företagsmiljöer.
Alberto Navarro

5 minuter

Datorvirus på WhatsApp Web

Cybersäkerhetsgemenskapen har satt fokus på SORVEPOTEL, en skadlig kod som sprids via WhatsApp Web och har lyckats expandera snabbt genom att använda själva meddelandeekosystemet som distributionskanal.

Data som samlats in av specialister visar 477 lag har anmält sig (457 i Brasilien), med inverkan på både den offentliga och den privata sektorn. Även om ingen filkryptering eller massstöld av data har rapporterats i den första vågen, Mönstret av självförökning är särskilt oroande.

Vad är SORVEPOTEL och varför är det ett problem?

Det är en Maskliknande skadlig kod som riktar sig mot Windows vars huvudsakliga mål är att mångfaldiga. Istället för att utpressa eller strö information från början, syftar till att överbelasta kommunikationskanaler och generera driftsavbrott som kan påverka organisationer, företag och enskilda användare.

Säkerhetsvarning på WhatsApp Web

Smittkedja: från postnummer till C2-kontroll

Intrånget börjar när offret får en nätfiskemeddelande från en redan komprometterad kontakt, något som inger förtroende. Detta meddelande innehåller en ZIP-fil förklädd till ett legitimt dokument (kvitton, uppskattningar eller medicinska rapporter).

Dold inuti ZIP-filen finns en Windows-genväg (.LNK) som startar en PowerShell-skript för att ladda ner den skadliga nyttolasten från externa servrar. Efter körning, skadlig programvara ställ in persistens i hemmappen och kommunicerar med kommando- och kontrollinfrastruktur (C2) för att ta emot instruktioner.

Använda WhatsApp Web som en språngbräda

Ett av de utmärkande dragen är dess Möjlighet att upptäcka öppna WhatsApp-sessioner i webbläsarenOm den är aktiv vidarebefordrar koden samma infekterade postnummer till kontakter och grupper för det komprometterade kontot, utan användarinteraktion.

Denna massutskickning orsakar en onormal mängd meddelanden som kan leda till Tillfälliga kontoavstängningar för brott mot plattformsregler, utöver att påskynda spridningen till nya offer.

Omfattning, regioner och sektorer som berörs

De tillgängliga siffrorna pekar på 477 bekräftade infektioner, med en anmärkningsvärd koncentration i Brasilien (457 incidenter)Bland de sektorer som nåtts finns: myndigheter, offentliga tjänster, teknologi, utbildning, tillverkning och byggnation.

Koden innehåller miljökontroller (tidszon, språk, region) för att främst påverka brasilianska system, men Vektorns (meddelandets) natur underlättar dess hopp till andra länderKampanjen har också kallats för Vatten Saci av vissa analytiker.

Ytterligare funktioner upptäckta

Även om det första målet är att expandera, har det observerats kompletterande moduler för ekonomiska ändamål, såsom Maverick.StageTwo (bankövervakning) och Maverick.Agent (insamling av autentiseringsuppgifter och överlag utge sig för att vara banksidor). Det finns inga bevis för en massutvinning i den inledande fasen., men närvaron av dessa komponenter ökar risken.

Tekniska indikatorer att hålla koll på

För tekniska team och SOC-team finns det mönster som kan hjälpa till att identifiera aktiviteten hos denna skadliga programvara och kapa attackkedjan snabbt:

  • register ZIP med .LNK-genvägar istället för riktiga dokument.
  • Användning av Obfuskerad PowerShell för att ladda ner och köra nyttolasten.
  • Persistens i Windows startmappar y Környcklar.
  • Trafik mot lockbete-domäner kontrollerade av angripare (t.ex. namn som liknar legitima tjänster).
  • Verifiering av den regionala miljön innan du aktiverar avancerade funktioner.

Kombinationen av LNK + PowerShell + C2 och användningen av WhatsApp Web som multiplikator är särskilt utmärkande egenskaper jämfört med andra kampanjer.

Hur man minskar risker hemma och på jobbet

Experter rekommenderar att stärka digitala hygienvanor och tillämpa grundläggande tekniska kontroller, med särskild uppmärksamhet på Hantering av bilagor och användning av WhatsApp Web i arbetslag.

  • Stäng av automatiska nedladdningar på WhatsApp och undvik att öppna oväntade postfiler, även om de kommer från kända kontakter.
  • Begränsa eller övervaka WhatsApp Web i företagsmiljöer; övervaka massvidarebefordran.
  • Göra sig av med EDR/antivirus kunna upptäcka LNK och PowerShell skadligt och blockera misstänkt beteende.
  • Övervaka DNS/HTTP(S) till kända C2-domäner eller IP-adresser och tillämpa blocklistor.
  • Vidareutbildning i nätfiske och social ingenjörskonst för hela personalen.
  • Håll system och patchar uppdaterade på slutpunkter och webbläsare.

I organisationer hjälper det också till att etablera principer för kontroll av bilagor och valideringsflöden vid mottagning av känsliga filer via meddelanden.

Vad du ska göra om du redan är drabbad

Vid indikation (automatisk vidarebefordran, avstängningsmeddelanden eller ovanlig aktivitet) är det lämpligt att utföra ett protokoll. inneslutning och sanering de inmediato.

  1. Stäng sessionerna från WhatsApp Web från din mobil (Inställningar > Länkade enheter) och ändra PIN-kod/låskod om tillämpligt.
  2. Analysera utrustningen med en lösning för skadlig programvara uppdaterad och tar bort persistens i hemmappar.
  3. översyn startprogram, schemalagda uppgifter och misstänkta LNK/PowerShell-relaterade registerposter.
  4. Rensa filer Postnummer/tillfällig nyligen nedladdade och töm papperskorgen.
  5. Låt dina kontakter veta att öppna inte ZIP-filen som kan ha mottagits från ditt konto.

Om du hanterar ett företagsnätverk, lägg till IOC-block vid perimeterkontroller och rapportera händelsen till lämplig CERT för att underlätta en samordnad insats.

Tillgängliga bevis pekar på en kampanj som prioriterar storskalig spridning genom WhatsApp Web, med Brasilien som epicentrum och potential för spridning till andra länder; att känna till attackkedjan (ZIP+LNK+PowerShell+C2), begränsa användningen av webbversionen på arbetsdatorer och förstärka verifieringen av bilagor är enkla åtgärder som minska riskytan avsevärt.

Relaterad artikel:
Bästa Windows Backup-appar