Los usuarios brasileños se han convertido en el objetivo de un nuevo malware autopropagante que se extiende a través de la popular aplicación de mensajería WhatsApp.
La campaña, con código codificado Sorvepotel Por Trend Micro, Arma la confianza con la plataforma para extender su alcance en los sistemas de Windows, y agregó que el ataque está «diseñado para la velocidad y la propagación» en lugar del robo de datos o el ransomware.
«Se ha observado que Sorvepotel se extiende por los sistemas de Windows a través de mensajes de phishing convincentes con archivos adjuntos maliciosos de tiradas», los investigadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, CJ Arsley Mateo, Jacob Santos y Paul John Bardon dicho.
«Curiosamente, el mensaje de phishing que contiene el archivo adjunto de archivos malicioso requiere que los usuarios lo abran en un escritorio, lo que sugiere que los actores de amenaza podrían estar más interesados en atacar a las empresas que a los consumidores».
Una vez que se abre el archivo adjunto, el malware se propaga automáticamente a través de la versión web de escritorio de WhatsApp, lo que finalmente provoca que las cuentas infectadas sean prohibidas por participar en spam excesivo. No hay indicios de que los actores de amenaza hayan aprovechado el acceso a datos de exfiltrado o archivos de cifrado.
La gran mayoría de las infecciones, 457 de los 477 casos, se concentran en Brasil, con entidades de gobierno, servicio público, fabricación, tecnología, educación y sectores de construcción más afectados.
El punto de partida del ataque es un mensaje de phishing enviado desde un contacto ya comprometido en WhatsApp para prestarle una apariencia de credibilidad. El mensaje contiene un archivo adjunto con cremallera que se disfraza de un archivo relacionado con la aplicación o recibo de salud aparentemente inofensivo.
Dicho esto, hay evidencia que sugiere que los operadores detrás de la campaña también han utilizado correos electrónicos para distribuir los archivos ZIP de las direcciones de correo electrónico aparentemente legítimas.
Si el destinatario cae en el truco y abre el archivo adjunto, se atrae a abrir un archivo de acceso directo de Windows (LNK) que, cuando se lanza, desencadena silenciosamente la ejecución de un script de PowerShell responsable de recuperar la carga útil principal de un servidor externo (por ejemplo, Sorvetenopoate[.]com).
La carga útil descargada es un script por lotes diseñado para establecer la persistencia en el host copiándose en la carpeta de inicio de Windows para que se inicie automáticamente después de un inicio del sistema. También está diseñado para ejecutar un comando PowerShell que alcanza un servidor de comando y control (C2) para obtener más instrucciones o componentes maliciosos adicionales.
Las operaciones centrales de Sorvepotel es el mecanismo de propagación centrado en WhatsApp. Si el malware detecta que WhatsApp Web está activo en el sistema infectado, procede a distribuir el archivo zip malicioso a todos los contactos y grupos asociados con la cuenta comprometida de la víctima, lo que permite que se extienda rápidamente.
«Esta propagación automatizada da como resultado un alto volumen de mensajes de spam y con frecuencia conduce a suspensiones o prohibiciones de cuenta debido a las violaciones de los términos de servicio de WhatsApp», dijo Trend Micro.
«La campaña SorVepotel demuestra cómo los actores de amenaza aprovechan cada vez más plataformas de comunicación populares como WhatsApp para lograr una propagación de malware rápida a gran escala con una interacción mínima del usuario».
Fuente