Usuários brasileiros têm sido o principal alvo de um novo malware autorreplicante que se espalha por meio do popular aplicativo de mensagens WhatsApp.
Batizada de SORVEPOTEL pela Trend Micro, a campanha utiliza a confiança dos usuários na plataforma para atingir sistemas Windows.
Segundo os especialistas, o malware foi “projetado para rapidez e propagação” e não para roubo de dados ou ataques de ransomware.
De acordo com os pesquisadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos e Paul John Bardon, o SORVEPOTEL se dissemina por meio de mensagens de phishing convincentes que trazem anexos ZIP maliciosos.
Curiosamente, as mensagens incentivam a abertura dos arquivos em desktops, sugerindo que os atacantes estejam mais interessados em atingir empresas do que consumidores comuns.
Ao abrir o anexo, o malware se propaga automaticamente pela versão web do WhatsApp no desktop, o que acaba resultando no banimento das contas infectadas devido ao envio excessivo de spam.
Até o momento, não há evidências de que os criminosos tenham usado o acesso para exfiltrar dados ou criptografar arquivos.
A grande maioria das infecções – 457 dos 477 casos identificados – concentra-se no Brasil, afetando principalmente órgãos governamentais, serviços públicos, indústria, tecnologia, educação e construção civil.
O ataque começa com uma mensagem de phishing enviada a partir de um contato já comprometido no WhatsApp, o que confere mais credibilidade à ameaça.
O anexo ZIP, disfarçado como um comprovante ou arquivo de um aplicativo de saúde, esconde o malware.
Além disso, há indícios de que os operadores da campanha também enviaram esses arquivos maliciosos por e-mail, utilizando remetentes que parecem legítimos.
Caso a vítima seja enganada e abra o arquivo, será induzida a executar um atalho do Windows (LNK).
Quando acionado, ele dispara silenciosamente um script em PowerShell que baixa a carga principal do servidor externo (por exemplo, sorvetenopoate[.]com).
Essa carga é um script em batch que garante persistência no computador, copiando-se para a pasta de Inicialização do Windows para ser executado automaticamente a cada reinício.
Também é responsável por rodar um comando PowerShell que se conecta a um servidor de comando e controle (C2) para receber novas ordens ou componentes maliciosos adicionais.
O motor da propagação do SORVEPOTEL é o próprio WhatsApp.
Se o malware detectar que a versão web está aberta no sistema infectado, ele envia automaticamente o arquivo ZIP malicioso para todos os contatos e grupos associados à conta comprometida, acelerando sua disseminação.
Segundo a Trend Micro, esse método gera um alto volume de mensagens de spam e frequentemente leva ao bloqueio ou banimento das contas, por violação dos termos de uso do WhatsApp.
A campanha SORVEPOTEL mostra como os atacantes vêm explorando cada vez mais plataformas populares de comunicação, como o WhatsApp, para espalhar malware de forma rápida e em larga escala, exigindo pouca interação dos usuários.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...