Uwaga użytkownicy WhatsApp. Pojawiło się nowe zagrożenie

Cyberprzestępcy udostępniają za pomocą WhatsAppa nowe złośliwe oprogramowanie, a ich celem są użytkownicy z Brazylii. SORVEPOTEL, bo taką nosi nazwę, dość szybko się rozprzestrzenia, aczkolwiek jego celem nie jest kradzież danych.

Badacze z Trend Micro odkryli, iż złośliwe oprogramowanie rozsyłane jest przez wiadomości phishingowe, do których dołączono złośliwe pliki w formacie ZIP. Te wiadomości wyglądają na wiarygodne, a atak wymaga, by użytkownik otworzył załącznik na komputerze, co sugeruje, że cyberprzestępcy mogą celować raczej w firmy niż w osoby prywatne.

Nowa kampania phishingowa wymierzona w użytkowników WhatsApp

Potwierdzają to zresztą dane. Większość przypadków infekcji – 457 z 477 – dotyczy mieszkańców Brazylii, a najczęściej atakowane są podmioty z sektora rządowego, usług publicznych, produkcji, technologii, edukacji i budownictwa.

Źródło: Trend Micro

Po otwarciu załącznika, malware rozprzestrzenia się dalej przez wersję webową WhatsApp, co prowadzi do zablokowania konta ofiary z powodu nadmiernej aktywności spamu. Badacze podkreślają, że atakujący nie wykorzystują zdobytych danych do kradzieży informacji ani nie szyfrują plików, żeby potem zażądać okupu za ich odblokowanie.

Atak rozpoczyna się od wysłania wiadomości przez komunikator, która zawiera plik ZIP udający zwykły rachunek lub plik związany z aplikacją zdrowotną. Atakujący wykorzystywali również e-maile wysyłane z pozornie wiarygodnych adresów.

Po otwarciu pliku kolejnym celem jest uruchomienie pliku skrótu Windows (LNK), który następnie odpala skrypt PowerShell, ten z kolei ściąga główny złośliwy plik z zewnętrznego serwera. Jest nim plik skrypt wsadowy, który jest cały czas obecny na komputerze i uruchamia się automatycznie przy każdym starcie systemu.

Skrypt łączy się również z serwerem, by pobrać dodatkowe instrukcje lub komponenty złośliwego oprogramowania.

Złośliwe oprogramowanie może doprowadzić nawet do zablokowania konta

Kluczową cechą SORVEPOTEL jest mechanizm rozprzestrzeniania się przez WhatsApp. Jeśli malware wykryje aktywność WhatsApp Web na zainfekowanym komputerze, zaczyna wysyłać złośliwy plik ZIP do wszystkich kontaktów i grup związanych z zainfekowanym kontem, co pozwala na szybkie rozprzestrzenianie się wirusa.

Jako że proces jest automatyczny, w wyniku tego działania generowany jest ogromny spam, co często prowadzi do zawieszenia lub trwałego zablokowania konta WhatsApp z powodu naruszenia zasad korzystania z platformy.