SORVEPOTEL: самораспространяющееся ПО в WhatsApp с перехватом сеансов

Коротко: Недавнее исследование выявило самораспространяющуюся кампанию вредоносного ПО под названием SORVEPOTEL, нацеленную преимущественно на бразильских пользователей. Злоумышленники комбинируют классический фишинг и автоматизированную эксплуатацию активных сессий WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), что позволяет вредоносному ПО быстро и масштабно распространяться без дополнительного взаимодействия жертвы.

Как происходит заражение

Атака начинается с фишингового сообщения в мессенджере WhatsApp. Сообщение оформлено так, чтобы выглядеть как отправленное доверенным контактом — другом или коллегой — чья учетная запись была предварительно скомпрометирована. В теле сообщения находится вложение в формате ZIP. При распаковке ZIP-файла жертва видит файл ярлыка Windows — .LNK.

Запуск этого .LNK-файла приводит к выполнению скрытого командного скрипта или скрипта PowerShell. Этот скрипт загружает основную полезную нагрузку с доменов, контролируемых злоумышленниками, и инициирует дальнейшее распространение вредоносного ПО.

Механизм распространения и ключевые возможности

• Социальная инженерия: сообщение маскируется под послание от знакомого человека, что повышает вероятность открытия вложения;
• Автоматизированное распространение: вредоносное ПО определяет, активен ли на устройстве веб-сеанс WhatsApp, и при обнаружении — использует его для отправки сообщений контактам жертвы;
• Минимальное участие пользователя: комбинация фишинга и перехвата сессии позволяет распространяться без дополнительных кликов со стороны пользователя;
• Динамическая загрузка полезной нагрузки: основной компонент загружается с внешних доменов, что затрудняет статическое обнаружение и анализ.

Почему это опасно

Кампания SORVEPOTEL демонстрирует, насколько эффективными оказываются сочетания традиционных приёмов социальной инженерии и современных автоматизированных инструментов эксплуатации сессий. Эта стратегия позволяет злоумышленникам:

• быстро расширять охват за счёт доверия между пользователями;
• уклоняться от ряда защитных механизмов, ориентированных на обнаружение классических троянов;
• поддерживать долгосрочные кампании благодаря возможности обновлять полезную нагрузку на стороне управляющих доменов.

«Использование автоматизированной эксплуатации сеанса в сочетании с фишингом значительно расширяет потенциал распространения вредоносного ПО» — отмечают исследователи.

Рекомендации по защите

Чтобы снизить риск заражения и распространения подобной угрозы, специалисты по кибербезопасности и простые пользователи должны учитывать следующие меры:

• Не открывайте ZIP-вложения из неожиданных сообщений, даже если сообщение выглядит от знакомого контакта;
• Подтверждайте получение вложений через альтернативный канал связи (звонок, SMS) перед открытием;
• Отключайте автоматический запуск ярлыков и повышайте осторожность при запуске .LNK-файлов;
• Держите операционную систему и антивирусное ПО обновлёнными; используйте решения с поведенческим анализом и защита от PowerShell-скриптов;
• Выходите из WhatsApp Web, когда не используете сервис; не оставляйте активные сессии на общедоступных или совместно используемых устройствах;
• Ограничьте права запуска скриптов и применяйте политики управления доступом для предотвращения несанкционированного исполнения кода;
• Блокируйте и мониторьте подозрительные домены и IP-адреса, откуда может загружаться полезная нагрузка.

Вывод

Кампания SORVEPOTEL подчёркивает, что популярные коммуникационные платформы остаются привлекательной площадкой для злоумышленников. Современные атаки сочетают проверенные техники социальной инженерии с автоматизацией и эксплуатацией сессий, что делает их особенно опасными. Повышенное внимание пользователей и внедрение многоуровневых защитных мер — ключ к снижению рисков таких кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.