Новый вирус SORVEPOTEL захватывает аккаунты WhatsApp для массового распространения в Бразилии

Эксперты Trend Micro Research обнаружили активную кампанию по распространению вредоносного программного обеспечения через мессенджер WhatsApp. Зловред, получивший название SORVEPOTEL, использует файлы ZIP в качестве приложений к сообщениям и обладает способностью к самостоятельному распространению. После проникновения на устройство программа обеспечивает свое постоянное присутствие в системе и захватывает контроль над компрометированным аккаунтом WhatsApp для рассылки собственных копий контактам жертвы.

Описание

Особенностью данной кампании является ориентация на корпоративных пользователей. Сообщения, распространяющие вредоносную программу, содержат указание открыть вложение на настольном компьютере, что свидетельствует о целевой направленности атаки на организации. По данным телеметрии Trend Micro, подавляющее большинство зафиксированных случаев заражения - 457 из 477 - зарегистрированы в Бразилии. Наибольшее количество атак пришлось на государственные и общественные службы, однако жертвами также стали предприятия manufacturing, технологического сектора, образовательные учреждения и строительные компании.

Механизм заражения начинается с получения пользователем фишингового сообщения через WhatsApp от взломанного контакта, что придает посланию видимость легитимности. Вложение представляет собой ZIP-архив с названиями, маскирующими его под безобидные документы - квитанции, бюджеты или файлы, связанные с медицинскими приложениями. Сообщение на португальском языке содержит инструкцию «baixa o zip no PC e abre» («скачай ZIP на ПК и открой»). Исследователи также отмечают, что электронная почта является дополнительным каналом первоначального проникновения для этой кампании. Были зафиксированы фишинговые письма с вложениями, использующими схожие названия и отправленные с адресов, имитирующих легитимных отправителей.

После извлечения содержимого ZIP-архива жертва обнаруживает файл ярлыка Windows (LNK). Его выполнение запускает командную строку или скрипт PowerShell, который загружает основную вредоносную полезную нагрузку с контролируемых злоумышленниками доменов. Маскировка под безобидный ярлык позволяет файлу LNK избегать обнаружения базовыми антивирусными решениями. Для доставки вредоносной нагрузки используются различные связанные домены, такие как sorvetenopoate[.]com и sorvetenopotel[.]com, которые служат API-точками.

Расшифрованная команда извлекает вредоносный скрипт по указанному URL-адресу и выполняет его в памяти с помощью функции Invoke-Expression (IEX). Процесс запускается в скрытом режиме для незаметности для пользователя, а также использует функцию кодированной команды для дополнительного запутывания полезной нагрузки. Загружаемый скриптом payload обычно представляет собой пакетный файл (BAT), предназначенный для обеспечения постоянства присутствия в зараженной системе. Это достигается путем копирования самого себя в папку автозагрузки Windows, что гарантирует автоматический запуск зловреда при каждой загрузке компьютера.

Пакетный скрипт использует несколько циклов для сборки и выполнения команды PowerShell. Эта команда выполняется в скрытом окне, а ее параметры предоставляются в кодировке Base64 для дополнительного затруднения анализа. После декодирования команда PowerShell генерирует URL-адрес, указывающий на командный сервер (C&C). С помощью Net.WebClient скрипт загружает контент с этого адреса, который затем немедленно выполняется в памяти через Invoke-Expression. Вредоносная программа поддерживает связь с несколькими C&C-серверами, что позволяет ей получать дальнейшие инструкции или извлекать дополнительные вредоносные компоненты при необходимости.

Ключевой особенностью данного вредоносного программного обеспечения является его способность обнаруживать активность WhatsApp Web на зараженном компьютере. При обнаружении сессии программа использует ее для автоматической рассылки того же вредоносного ZIP-файла всем контактам и группам, связанным со скомпрометированным аккаунтом жертвы, обеспечивая быстрое самовоспроизведение. Такое автоматизированное распространение приводит к большому объему спам-сообщений и часто заканчивается приостановкой действия аккаунта или его блокировкой за нарушение условий предоставления услуг WhatsApp.

После первоначального заражения программа продолжает работать в основном как самораспространяющаяся угроза. Текущие данные свидетельствуют о том, что ее основной целью является широкое распространение, а не более глубокая компрометация системы. На момент публикации в зарегистрированных случаях не обнаружено значительных признаков извлечения данных или шифрования файлов. Однако стоит отметить, что бразильские кампании, использующие схожие методы, ранее были нацелены на финансовую информацию.

Для уклонения от обнаружения и поддержания постоянного присутствия программа использует несколько стратегий: применяет замаскированные и опечатанные домены, такие как «sorvetenopotel», который очень напоминает безобидную бразильскую фразу «sorvete no pote» (мороженое в стаканчике). Эта тактика помогает вредоносной инфраструктуре смешиваться с легитимным трафиком и избегать немедленного внимания. Исследователи также наблюдали потенциальные связи с дополнительной инфраструктурой, включая домены, которые использовались для распространения вредоносного программного обеспечения в дни, предшествующие более масштабной активности кампании. Эти находки подчеркивают постоянные усилия атакующих по обновлению и диверсификации методов доставки для достижения максимального охвата и скрытности.

Кампания SORVEPOTEL демонстрирует, как злоумышленники все активнее используют популярные коммуникационные платформы, такие как WhatsApp, для достижения быстрого и широкомасштабного распространения вредоносных программ при минимальном взаимодействии с пользователем. Сочетая убедительные проверенные фишинговые тактики, автоматизированное использование сессий и методы уклонения, SORVEPOTEL с высокой вероятностью будет быстро распространяться. Хотя текущее воздействие сосредоточено на массовом заражении и блокировках аккаунтов, а не на шифровании, сходство с прошлыми бразильскими кампаниями подчеркивает потенциал для дальнейшей эволюции. Бдительность, осведомленность пользователей и эффективные средства контроля безопасности необходимы для противодействия этой и аналогичным угрозам.