Los usuarios brasileños están emergiendo como objetivos para el nuevo malware de autopropagación extendido a través de la popular aplicación de mensajería WhatsApp.
La campaña con nombre en código SorvePotel de Trend Micro, armada con confianza en la plataforma para extender el alcance en los sistemas de Windows, y agregó que los ataques «están diseñados para la velocidad y la propagación» en lugar del robo de datos o el ransomware.
«Se ha observado que Sorvepotel se extiende por los sistemas de Windows persuadiendo mensajes de phishing con adjuntos de cremallera maliciosa», dijeron los investigadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, CJ Arsley Mateo, Jacob Santos y Paul John Bardon.
«Curiosamente, los mensajes de phishing que contienen archivos adjuntos de archivos maliciosos sugieren que los usuarios deben abrirlo en el escritorio y que los actores de amenaza pueden estar más interesados en atacar a las empresas que a los consumidores».
Una vez que se abre el archivo adjunto, el malware se propaga automáticamente a través de la versión web de escritorio de WhatsApp y, en última instancia, prohibió las cuentas infectadas porque participarán en spam excesivo. No hay indicios de que el actor de amenaza haya aprovechado el acceso a los datos o archivos de exfiltrado en cifrado.
La mayoría de las enfermedades infecciosas (457 de 477 casos) se concentran en Brasil, con entidades del gobierno, servicios públicos, fabricación, tecnología, educación y sectores de construcción que tienen el mayor impacto.
El punto de partida para el ataque es un mensaje de phishing enviado desde los contactos ya comprometidos de WhatsApp. Este mensaje contiene un archivo adjunto con cremallera que lo disfraza como un recibo aparentemente inofensivo o un archivo relacionado con la aplicación de salud.
Dicho esto, hay evidencia que sugiere que el operador detrás de la campaña usó el correo electrónico para distribuir archivos zip de las direcciones de correo electrónico aparentemente legítimas.
Si los destinatarios han dejado caer el truco y abren los archivos adjuntos, se les invitará a abrir archivos de Windows Actuals (LNK) que, al iniciar, activan silenciosamente la ejecución de un script PowerShell para recuperar la carga útil principal del servidor externo (por ejemplo, Sorvetenopoate (.) Com).
La carga útil descargada es un script por lotes diseñado para establecer la persistencia del host copiándola automáticamente a la carpeta de inicio de Windows, y se inicia automáticamente después del inicio del sistema. También está diseñado para ejecutar comandos de PowerShell que alcanzan el servidor de comando y control (C2) para obtener más instrucciones o componentes maliciosos adicionales.
En el corazón de la operación de Sorvepotel se encuentra el mecanismo de propagación centrado en WhatsApp. Cuando el malware detecta que WhatsApp Web está activo en un sistema infectado, puede distribuir archivos de cremallera maliciosos a todos los contactos y grupos asociados con la cuenta comprometida de la víctima, y extenderlos rápidamente.
«Esta extensión automatizada conduce a una gran cantidad de mensajes de spam y con frecuencia conduce a la suspensión o prohibición de la cuenta debido a la violación de los términos de servicio de WhatsApp», dijo Trend Micro.
«La campaña SorvePotel muestra cómo los actores de amenaza pueden aprovechar cada vez más plataformas de comunicación populares como WhatsApp para lograr una rápida propagación de malware a gran escala con una interacción mínima del usuario».
Source link
