Brezilyalı kullanıcılar, popüler mesajlaşma uygulaması Whatsapp aracılığıyla yayılan yeni bir kendini tanıtan kötü amaçlı yazılımın hedefi olarak ortaya çıktı.
Kampanya, kodlanmış Sorvepotel Trend Micro ile, Windows sistemlerine erişimini genişletmek için platformla olan güveni silahlandırır ve saldırının veri hırsızlığı veya fidye yazılımı yerine “hız ve yayılma için tasarlanmış” olduğunu ekler.
Araştırmacılar Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, CJ Arsley Mateo, Jacob Santos ve Paul John Bardon, “SorvePotel’in Windows sistemlerine, kötü niyetli fermuarlı dosya eklerine sahip kimlik avı mesajları ile yayıldığı gözlendi.” Dedi.
“İlginç bir şekilde, kötü amaçlı dosya ekini içeren kimlik avı mesajı, kullanıcıların bir masaüstünde açmasını gerektirir, bu da tehdit aktörlerinin tüketicilerden ziyade işletmeleri hedeflemeyle daha fazla ilgilenebileceğini öne sürer.”
Ek açıldıktan sonra, kötü amaçlı yazılım, WhatsApp’ın masaüstü web sürümü aracılığıyla otomatik olarak yayılır ve sonuçta enfekte hesapların aşırı spam ile uğraşması için yasaklanmasına neden olur. Tehdit aktörlerinin verileri veya şifreleme dosyalarına erişimden yararlandığına dair hiçbir belirti yoktur.
Enfeksiyonların büyük çoğunluğu – 477 vakanın 457’si – hükümet, kamu hizmeti, imalat, teknoloji, eğitim ve inşaat sektörlerindeki kuruluşlarla en çok etkilendiğinde Brezilya’da yoğunlaşmıştır.
Saldırının başlangıç noktası, WhatsApp’ta zaten güvenilir bir temastan gönderilen bir kimlik avı mesajıdır. Mesaj, görünüşte zararsız bir makbuz veya sağlık uygulamasıyla ilgili bir dosya olarak maskelenen bir fermuar eki içerir.
Bununla birlikte, kampanyanın arkasındaki operatörlerin, zip dosyalarını meşru görünüşte e -posta adreslerinden dağıtmak için e -postalar kullandıklarını gösteren kanıtlar var.
Alıcının hile için düşmesi ve eki açması durumunda, başlatıldığında, ana yükü harici bir sunucudan almaktan sorumlu bir PowerShell betiğinin yürütülmesini sessizce tetikleyen bir Windows kısayolu (LNK) dosyası açmaya çekilirler (örn. Sorvetenopoate[.]com).
İndirilen yük, bir sistem başlangıcından sonra otomatik olarak başlatılacak şekilde kendisini Windows başlangıç klasörüne kopyalayarak ana bilgisayar üzerinde kalıcılık oluşturmak için tasarlanmış bir toplu komut dosyasıdır. Ayrıca, daha fazla talimat veya ek kötü amaçlı bileşenler almak için bir komut ve kontrol (C2) sunucusuna ulaşan bir PowerShell komutunu çalıştırmak için tasarlanmıştır.
SorvePotel operasyonlarının merkezinde WhatsApp odaklı yayılma mekanizması bulunmaktadır. Kötü amaçlı yazılım, WhatsApp Web’in enfekte olmuş sistemde aktif olduğunu algılarsa, kötü amaçlı zip dosyasını kurbanın tehlikeye atılan hesabıyla ilişkili tüm kişilere ve gruplara dağıtmaya devam ederek hızla yayılmasına izin verir.
Trend Micro, “Bu otomatik yayılma, yüksek miktarda spam mesajı ile sonuçlanıyor ve WhatsApp’ın hizmet şartlarının ihlalleri nedeniyle sık sık hesap süspansiyonlarına veya yasaklarına yol açıyor.” Dedi.
“SorvePotel kampanyası, tehdit aktörlerinin, minimum kullanıcı etkileşimi ile hızlı, büyük ölçekli kötü amaçlı yazılımların yayılmasını sağlamak için WhatsApp gibi popüler iletişim platformlarından nasıl daha fazla yararlandığını gösteriyor.”