Эксперт предупредил о новом вирусе в WhatsApp, маскирующемся под чеки и меддокументы

По словам специалистов, атака построена с упором на скорость и масштаб распространения, а не хищение данных или вымогательство. SORVEPOTEL распространяется через правдоподобные фишинговые сообщения с вредоносными архивами ZIP, замаскированными под чеки или приложения для здоровья. Примечательно, что фишинговые вложения предназначены для открытия на ПК, то есть злоумышленники, по всей видимости, больше интересуются корпоративными целями, а не рядовыми пользователями.

После открытия вредоносного вложения малварь автоматически распространяется через WhatsApp Web на ПК: зараженный аккаунт рассылает файлы ZIP всем контактам и группам, что ведет к массовому спаму и часто заканчивается блокировкой аккаунта жертвы за нарушение правил мессенджера.

Отмечается, что на данный момент нет никаких признаков того, что операторы этой кампании используют доступ к зараженным системам для кражи данных или шифрования файлов.

Большинство заражений (457 из 477) SORVEPOTEL было зафиксировано в Бразилии. Чаще всего от атак страдают госучреждения, а также организации из сферы госуслуг, производства, технологий, образования и строительства.

Если жертва открывает вредоносное вложение, ее подталкивают запустить Windows-ярлык (LNK). При его запуске незаметно выполняется PowerShell-скрипт, который загружает основной модуль малвари с внешнего сервера (например, sorvetenopoate[.]com).

Загруженный модуль представляет собой batch-скрипт, который отвечает за закрепление в системе: он копирует себя в папку автозапуска Windows, чтобы запускаться после старта системы. Кроме того, скрипт выполняет PowerShell-команду, обращающуюся к управляющему серверу злоумышленников за дальнейшими инструкциями или дополнительными компонентами.

Пример SORVEPOTEL наглядно показывает, что злоумышленники все чаще используют популярные коммуникационные платформы (такие как WhatsApp) для быстрого и массового распространения малвари при минимальном взаимодействии с пользователем.