Los usuarios brasileños se han convertido en el objetivo de un nuevo malware autopropagante que se extiende a través de la popular aplicación de correo WhatsApp.
La campaña, con código codificado Sorvepotel Por Trend Micro, Armamento la confianza con la plataforma para extender su capacidad en los sistemas de Windows, y agregó que el ataque está “diseñado para la velocidad y la propagación” en división del robo de datos o el ransomware.
“Se ha observado que Sorvepotel se extiende por los sistemas de Windows a través de mensajes de phishing convincentes con archivos adjuntos maliciosos”, los investigadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, CJ Arsley Mateo, Jacob Santos y Paul John Bardon dijeron.
“Curiosamente, el mensaje de phishing que contiene el archivo adjunto de archivos malvado requiere que los usuarios lo abran en un escritorio, lo que sugiere que los actores de amenaza podrían estar más interesados en atacar a las empresas que a los consumidores”.
Una vez que se abre el archivo adjunto, el malware se propaga automáticamente a través de la interpretación web de escritorio de WhatsApp, lo que finalmente provoca que las cuentas infectadas sean prohibidas por participar en spam excesivo. No hay indicios de que los actores de amenaza hayan trabajador el camino a datos de exfiltrado o archivos de enigmático.
La gran mayoría de las infecciones, 457 de los 477 casos, se concentran en Brasil, con entidades de gobierno, servicio manifiesto, fabricación, tecnología, educación y sectores de construcción más afectados.
El punto de partida del ataque es un mensaje de phishing enviado desde un contacto ya comprometido en WhatsApp para prestarle una apariencia de credibilidad. El mensaje contiene un archivo adjunto con cremallera que se disfraza de un archivo relacionado con la aplicación o recibo de vitalidad aparentemente inofensivo.
Dicho esto, hay evidencia que sugiere que los operadores detrás de la campaña incluso han utilizado correos electrónicos para distribuir los archivos ZIP de las direcciones de correo electrónico aparentemente legítimas.
Si el destinatario cae en el truco y abre el archivo adjunto, se atrae a brindar un archivo de camino directo de Windows (LNK) que, cuando se alabarda, desencadena silenciosamente la ejecución de un script de PowerShell responsable de recuperar la carga útil principal de un servidor forastero (por ejemplo, Sorvetenopoate (.) Com).
La carga útil descargada es un script por lotes diseñado para establecer la persistencia en el host copiándose en la carpeta de inicio de Windows para que se inicie automáticamente a posteriori de un inicio del sistema. Igualmente está diseñado para ejecutar un comando PowerShell que alcanza un servidor de comando y control (C2) para obtener más instrucciones o componentes maliciosos adicionales.
Las operaciones centrales de Sorvepotel es el mecanismo de propagación centrado en WhatsApp. Si el malware detecta que WhatsApp Web está activo en el sistema infectado, procede a distribuir el archivo zip malvado a todos los contactos y grupos asociados con la cuenta comprometida de la víctima, lo que permite que se extienda rápidamente.
“Esta propagación automatizada da como resultado un parada grosor de mensajes de spam y con frecuencia conduce a suspensiones o prohibiciones de cuenta conveniente a las violaciones de los términos de servicio de WhatsApp”, dijo Trend Micro.
“La campaña SorVepotel demuestra cómo los actores de amenaza aprovechan cada vez más plataformas de comunicación populares como WhatsApp para alcanzar una propagación de malware rápida a gran escalera con una interacción mínima del sucesor”.
