Distribuye un archivo ZIP malicioso a todos los contactos y grupos asociados a la cuenta comprometida de la víctima
Los usuarios brasileños se han convertido en el objetivo de un nuevo malware que se propaga a través de la popular aplicación de mensajería WhatsApp.
La campaña, cuyo nombre en código es SORVEPOTEL y fue detectada por Trend Micro, utiliza la confianza en la plataforma para extender su alcance a través de los sistemas Windows y agrega que el ataque está "diseñado para la velocidad y la propagación" en lugar del robo de datos o el ransomware.
"Se ha observado que SORVEPOTEL se propaga a través de sistemas Windows a través de mensajes de convincentes phishing con archivos ZIP maliciosos adjuntos", dijeron los investigadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos y Paul John Bardon.
Curiosamente, el mensaje de phishing que contiene el archivo adjunto malicioso requiere que los usuarios lo abran en una computadora, lo que sugiere que los actores de amenazas podrían estar más interesados en atacar a las empresas que a los consumidores.
Una vez abierto el archivo adjunto, el malware se propaga automáticamente a través de la versión web de WhatsApp para escritorio, lo que provoca el bloqueo de las cuentas infectadas por spam excesivo. No hay indicios de que los cibercriminales hayan aprovechado el acceso para exfiltrar datos o cifrar archivos.
La gran mayoría de las infecciones (457 de los 477 casos) se concentran en Brasil, siendo las más afectadas entidades de los sectores gubernamental, de servicios públicos, manufacturero, tecnológico, educativo y de construcción.
El punto de partida del ataque es un mensaje de phishing enviado desde un contacto ya comprometido en WhatsApp para darle credibilidad. El mensaje contiene un archivo ZIP adjunto que se hace pasar por un recibo aparentemente inofensivo o un archivo relacionado con una aplicación de salud.
Dicho esto, hay evidencia que sugiere que los operadores detrás de la campaña también han utilizado correos electrónicos para distribuir los archivos ZIP desde direcciones de correo electrónico aparentemente legítimas.
Si el destinatario cae en la trampa y abre el archivo adjunto, se le induce a abrir un archivo de acceso directo de Windows (LNK) que, cuando se inicia, activa silenciosamente la ejecución de un script de PowerShell responsable de recuperar la carga principal de un servidor externo (por ejemplo, sorvetenopoate[.]com).
La carga útil descargada es un script por lotes diseñado para establecer persistencia en el host copiándose a sí mismo en la carpeta de inicio de Windows para que se inicie automáticamente al iniciar el sistema. También está diseñado para ejecutar un comando de PowerShell que se conecta a un servidor de comando y control (C2) para obtener instrucciones adicionales o componentes maliciosos adicionales.
El mecanismo de propagación basado en WhatsApp es fundamental para las operaciones de SORVEPOTEL. Si el malware detecta que WhatsApp Web está activo en el sistema infectado, distribuye el archivo ZIP malicioso a todos los contactos y grupos asociados a la cuenta comprometida de la víctima, lo que le permite propagarse rápidamente.
"Esta propagación automatizada genera un gran volumen de mensajes de spam y con frecuencia conduce a suspensiones o prohibiciones de cuentas debido a violaciones de los términos de servicio de WhatsApp", dijo Trend Micro.
La campaña SORVEPOTEL demuestra cómo los actores de amenazas aprovechan cada vez más plataformas de comunicación populares como WhatsApp para lograr una propagación rápida y a gran escala de malware con una interacción mínima del usuario.
