Logiciel malveillant SORVEPOTEL

Par Mezo en Logiciels malveillants

Se traduisent par :

Une campagne de malwares à propagation rapide nommée SORVEPOTEL exploite activement la confiance accordée à WhatsApp pour se propager dans les environnements Windows. Contrairement à de nombreuses attaques modernes conçues pour le vol de données ou les rançongiciels, cette campagne est optimisée pour une propagation rapide et à grande échelle, ce qui la rend particulièrement dangereuse en entreprise, où un seul ordinateur compromis peut propager de nombreuses autres infections.

Table des matières

Qu’est-ce que SORVEPOTEL

SORVEPOTEL est une famille de logiciels malveillants Windows auto-propagateurs qui exploite l'ingénierie sociale et la version bureau/web de WhatsApp pour distribuer des pièces jointes malveillantes aux contacts et groupes de la victime. Son objectif principal semble être la diffusion rapide et l'utilisation abusive des comptes (entraînant spam et bannissements), et non l'exfiltration immédiate de données ou le chiffrement de fichiers.

Comment les victimes sont attirées

Les attaquants commencent leur attaque à partir d'un contact WhatsApp compromis ou, dans certains cas, d'une adresse e-mail apparemment légitime. Le message contient un fichier ZIP déguisé en élément inoffensif (par exemple, un reçu ou un fichier d'application de santé). Si le destinataire ouvre le fichier ZIP sur un ordinateur, les étapes suivantes se produisent généralement :

La victime est amenée à lancer un raccourci Windows (LNK) à l'intérieur de l'archive.
Le LNK exécute silencieusement une commande PowerShell qui télécharge la charge utile de l'étape suivante à partir d'un hôte externe (un exemple identifié est sorvetenopoate.com).

La charge utile récupérée est un script batch qui établit la persistance et exécute d'autres commandes.

Détails d’exécution et mécanismes de persistance

Une fois installé, le script batch se copie dans le dossier de démarrage de Windows afin de s'exécuter automatiquement après le démarrage du système. Il appelle également PowerShell pour contacter un serveur de commande et de contrôle (C2) afin d'obtenir des instructions complémentaires ou d'extraire des composants supplémentaires. Ces comportements permettent au logiciel malveillant de rester résident et d'accepter les commandes à distance des opérateurs.

WhatsApp comme moteur de propagation

L'une des fonctionnalités principales de SORVEPOTEL est sa méthode de propagation compatible avec WhatsApp. Si le logiciel malveillant détecte que WhatsApp Web (le client web/de bureau) est actif sur la machine infectée, il automatise la distribution du même fichier ZIP malveillant vers :

Tous les contacts liés au compte compromis, et
Tous les groupes auxquels appartient le compte.

Cette distribution automatisée produit un volume très élevé de spam sortant, ce qui déclenche souvent la détection d'abus de WhatsApp et conduit à des comptes suspendus ou bannis.

Portée et qui a été touché

Jusqu'à présent, la campagne est fortement concentrée au Brésil : 457 des 477 infections recensées y ont été recensées. Les organisations ciblées couvrent plusieurs secteurs, notamment :

gouvernement et services publics
fabrication
technologie
éducation
construction

Il est à noter que les opérateurs ne semblent pas avoir utilisé l’accès obtenu pour voler massivement des données ou pour déployer des ransomwares ; le résultat observable a été une propagation agressive et un abus de compte.

Vecteurs de distribution supplémentaires observés

Bien que les messages basés sur WhatsApp constituent la principale voie de propagation, les analystes ont trouvé des preuves que les attaquants distribuent également les mêmes pièces jointes ZIP malveillantes par courrier électronique, en utilisant parfois des adresses d'expéditeur apparemment légitimes pour augmenter leur crédibilité.

Pourquoi cette campagne est remarquable

SORVEPOTEL illustre une tendance où les attaquants exploitent les plateformes de communication grand public pour accroître leur portée avec une interaction minimale de l'utilisateur. En exploitant un contact de confiance et la praticité de WhatsApp Web, le logiciel malveillant parvient à se propager rapidement au sein des organisations sans recourir à des composants sophistiqués de vol de données.

Note de clôture

SORVEPOTEL rappelle que les réseaux sociaux constituent des canaux de propagation attractifs pour les logiciels malveillants. Une détection rapide, la formation des utilisateurs et des contrôles limitant l'exécution des scripts et surveillant les clients de messagerie sur les ordinateurs de bureau réduiront considérablement la surface d'attaque exploitée par cette campagne.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Logiciel malveillant SORVEPOTEL

Qu’est-ce que SORVEPOTEL

Comment les victimes sont attirées

Détails d’exécution et mécanismes de persistance

WhatsApp comme moteur de propagation

Portée et qui a été touché

Vecteurs de distribution supplémentaires observés

Pourquoi cette campagne est remarquable

Note de clôture

Soumettre un Commentaire

Tendance

Report Ransomware

LonleyCrypt Ransomware

Prizesleads.com

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord est bloqué sur un écran gris

Discord affiche un écran noir lors du partage d'écran