Usuários brasileiros têm sido o principal alvo de um novo malware autorreplicante que se espalha por meio do popular aplicativo de mensagens WhatsApp.
Batizada de SORVEPOTEL pela Trend Micro, a campanha utiliza a confiança dos usuários na plataforma para atingir sistemas Windows.
Segundo os especialistas, o malware foi “projetado para rapidez e propagação” e não para roubo de dados ou ataques de ransomware.
De acordo com os pesquisadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos e Paul John Bardon, o SORVEPOTEL se dissemina por meio de mensagens de phishing convincentes que trazem anexos ZIP maliciosos.
Curiosamente, as mensagens incentivam a abertura dos arquivos em desktops, sugerindo que os atacantes estejam mais interessados em atingir empresas do que consumidores comuns.
Ao abrir o anexo, o malware se propaga automaticamente pela versão web do WhatsApp no desktop, o que acaba resultando no banimento das contas infectadas devido ao envio excessivo de spam.
Até o momento, não há evidências de que os criminosos tenham usado o acesso para exfiltrar dados ou criptografar arquivos.
A grande maioria das infecções – 457 dos 477 casos identificados – concentra-se no Brasil, afetando principalmente órgãos governamentais, serviços públicos, indústria, tecnologia, educação e construção civil.
O ataque começa com uma mensagem de phishing enviada a partir de um contato já comprometido no WhatsApp, o que confere mais credibilidade à ameaça.
O anexo ZIP, disfarçado como um comprovante ou arquivo de um aplicativo de saúde, esconde o malware.
Além disso, há indícios de que os operadores da campanha também enviaram esses arquivos maliciosos por e-mail, utilizando remetentes que parecem legítimos.
Caso a vítima seja enganada e abra o arquivo, será induzida a executar um atalho do Windows (LNK).
Quando acionado, ele dispara silenciosamente um script em PowerShell que baixa a carga principal do servidor externo (por exemplo, sorvetenopoate[.]com).
Essa carga é um script em batch que garante persistência no computador, copiando-se para a pasta de Inicialização do Windows para ser executado automaticamente a cada reinício.
Também é responsável por rodar um comando PowerShell que se conecta a um servidor de comando e controle (C2) para receber novas ordens ou componentes maliciosos adicionais.
O motor da propagação do SORVEPOTEL é o próprio WhatsApp.
Se o malware detectar que a versão web está aberta no sistema infectado, ele envia automaticamente o arquivo ZIP malicioso para todos os contatos e grupos associados à conta comprometida, acelerando sua disseminação.
Segundo a Trend Micro, esse método gera um alto volume de mensagens de spam e frequentemente leva ao bloqueio ou banimento das contas, por violação dos termos de uso do WhatsApp.
A campanha SORVEPOTEL mostra como os atacantes vêm explorando cada vez mais plataformas populares de comunicação, como o WhatsApp, para espalhar malware de forma rápida e em larga escala, exigindo pouca interação dos usuários.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...