کمیته رکن چهارم– محققان شرکت Trend Micro از شناسایی کمپین بدافزاری جدیدی با نام SORVEPOTEL خبر دادهاند که با استفاده از پیامهای جعلی در واتساپ، سازمانها و کاربران برزیلی را هدف گرفته است. این بدافزار با بهرهگیری از اعتماد کاربران به پیامرسان واتساپ، بهسرعت در حال گسترش است
به گزارش کمیته رکن چهارم، SORVEPOTEL از طریق فایلهای ZIP آلوده که در پیامهای فیشینگ ارسال میشود، کاربران را فریب میدهد. این فایلها تنها در نسخه دسکتاپ واتساپ قابل باز شدن هستند؛ نشانهای که نشان میدهد هدف اصلی، کاربران سازمانی هستند نه مصرفکنندگان عادی.
پس از باز شدن فایل، یک فایل LNK در ویندوز اجرا شده و بهطور مخفی یک اسکریپت PowerShell را فعال میکند. این اسکریپت بدافزار اصلی را از سروری خارجی دانلود و در سیستم ذخیره میکند. سپس بدافزار با کپی شدن در پوشه Startup، در هر بار راهاندازی سیستم فعال شده و دستورات جدید را از سرور کنترل دریافت میکند.
ویژگی اصلی این بدافزار، انتشار خودکار از طریق واتساپ است. در صورتی که نسخه وب واتساپ روی دستگاه فعال باشد، بدافزار فایل آلوده را برای تمام مخاطبان و گروهها ارسال میکند. همین ویژگی باعث شده بسیاری از حسابهای آلوده به دلیل ارسال پیامهای انبوه، از سوی واتساپ مسدود شوند.
طبق گزارشها، از مجموع ۴۷۷ مورد آلودگی ثبتشده، ۴۵۷ مورد در برزیل رخ داده و هدف اصلی نهادهای دولتی، خدمات عمومی، صنایع تولیدی و آموزشی بودهاند.
Trend Micro هشدار داده است که کمپین SORVEPOTEL نشاندهنده تغییر رویکرد مهاجمان سایبری به استفاده از پیامرسانها برای انتشار بدافزار با حداقل تعامل کاربر است.
