Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

SORVEPOTEL: самораспространяющееся ПО в WhatsApp с перехватом сеансов

41
3 мин
Коротко: Недавнее исследование выявило самораспространяющуюся кампанию вредоносного ПО под названием SORVEPOTEL, нацеленную преимущественно на бразильских пользователей. Злоумышленники комбинируют классический фишинг и автоматизированную эксплуатацию активных сессий WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), что позволяет вредоносному ПО быстро и масштабно распространяться без дополнительного взаимодействия жертвы. Атака начинается с фишингового сообщения в мессенджере WhatsApp. Сообщение оформлено так, чтобы выглядеть как отправленное доверенным контактом — другом или коллегой — чья учетная запись была предварительно скомпрометирована. В теле сообщения находится вложение в формате ZIP. При распаковке ZIP-файла жертва видит файл ярлыка Windows — .LNK. Запуск этого .LNK-файла приводит к выполнению скрытого командного скрипта или скрипта PowerShell. Этот скрипт загружает основную полезную нагрузку с доменов, контролир
Оглавление
Источник: www.trendmicro.com
Источник: www.trendmicro.com

Коротко: Недавнее исследование выявило самораспространяющуюся кампанию вредоносного ПО под названием SORVEPOTEL, нацеленную преимущественно на бразильских пользователей. Злоумышленники комбинируют классический фишинг и автоматизированную эксплуатацию активных сессий WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), что позволяет вредоносному ПО быстро и масштабно распространяться без дополнительного взаимодействия жертвы.

Как происходит заражение

Атака начинается с фишингового сообщения в мессенджере WhatsApp. Сообщение оформлено так, чтобы выглядеть как отправленное доверенным контактом — другом или коллегой — чья учетная запись была предварительно скомпрометирована. В теле сообщения находится вложение в формате ZIP. При распаковке ZIP-файла жертва видит файл ярлыка Windows — .LNK.

Запуск этого .LNK-файла приводит к выполнению скрытого командного скрипта или скрипта PowerShell. Этот скрипт загружает основную полезную нагрузку с доменов, контролируемых злоумышленниками, и инициирует дальнейшее распространение вредоносного ПО.

Механизм распространения и ключевые возможности

  • Социальная инженерия: сообщение маскируется под послание от знакомого человека, что повышает вероятность открытия вложения;
  • Автоматизированное распространение: вредоносное ПО определяет, активен ли на устройстве веб-сеанс WhatsApp, и при обнаружении — использует его для отправки сообщений контактам жертвы;
  • Минимальное участие пользователя: комбинация фишинга и перехвата сессии позволяет распространяться без дополнительных кликов со стороны пользователя;
  • Динамическая загрузка полезной нагрузки: основной компонент загружается с внешних доменов, что затрудняет статическое обнаружение и анализ.

Почему это опасно

Кампания SORVEPOTEL демонстрирует, насколько эффективными оказываются сочетания традиционных приёмов социальной инженерии и современных автоматизированных инструментов эксплуатации сессий. Эта стратегия позволяет злоумышленникам:

  • быстро расширять охват за счёт доверия между пользователями;
  • уклоняться от ряда защитных механизмов, ориентированных на обнаружение классических троянов;
  • поддерживать долгосрочные кампании благодаря возможности обновлять полезную нагрузку на стороне управляющих доменов.
«Использование автоматизированной эксплуатации сеанса в сочетании с фишингом значительно расширяет потенциал распространения вредоносного ПО» — отмечают исследователи.

Рекомендации по защите

Чтобы снизить риск заражения и распространения подобной угрозы, специалисты по кибербезопасности и простые пользователи должны учитывать следующие меры:

  • Не открывайте ZIP-вложения из неожиданных сообщений, даже если сообщение выглядит от знакомого контакта;
  • Подтверждайте получение вложений через альтернативный канал связи (звонок, SMS) перед открытием;
  • Отключайте автоматический запуск ярлыков и повышайте осторожность при запуске .LNK-файлов;
  • Держите операционную систему и антивирусное ПО обновлёнными; используйте решения с поведенческим анализом и защита от PowerShell-скриптов;
  • Выходите из WhatsApp Web, когда не используете сервис; не оставляйте активные сессии на общедоступных или совместно используемых устройствах;
  • Ограничьте права запуска скриптов и применяйте политики управления доступом для предотвращения несанкционированного исполнения кода;
  • Блокируйте и мониторьте подозрительные домены и IP-адреса, откуда может загружаться полезная нагрузка.

Вывод

Кампания SORVEPOTEL подчёркивает, что популярные коммуникационные платформы остаются привлекательной площадкой для злоумышленников. Современные атаки сочетают проверенные техники социальной инженерии с автоматизацией и эксплуатацией сессий, что делает их особенно опасными. Повышенное внимание пользователей и внедрение многоуровневых защитных мер — ключ к снижению рисков таких кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SORVEPOTEL: самораспространяющееся ПО в WhatsApp с перехватом сеансов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

WhatsApp
31,2 тыс интересуются