Eine neue Kampagne in Brasilien zeigt, wie effizient sich Malware über alltägliche Kommunikationskanäle ausbreiten kann: SORVEPOTEL nutzt WhatsApp Web, um sich auf Windows-Rechnern eigenständig weiterzuverbreiten. Analysen von Trend Micro belegen, dass die Operatoren vor allem auf Reichweite und Geschwindigkeit abzielen – nicht auf Datendiebstahl oder Erpressung. Für Unternehmen entsteht dennoch ein erhebliches Betriebs- und Reputationsrisiko.
SORVEPOTEL: Zielsetzung, Verbreitung und Opferprofil
Die Kampagne konzentriert sich fast vollständig auf Brasilien. Laut Trend Micro entfielen 457 von 477 beobachteten Infektionen auf das Land. Betroffen sind insbesondere Behörden sowie Organisationen aus öffentlicher Verwaltung, Fertigung, Technologie, Bildung und Bau. Die Köder werden als plausible ZIP-Archive verteilt – etwa vermeintliche Zahlungsbelege oder Gesundheits-Apps –, was die Ausrichtung auf Desktop-Arbeitsplätze in Unternehmensumgebungen nahelegt.
Bemerkenswert ist die Motivation: Es gibt bislang keine Hinweise auf Ransomware-Funktionen oder systematische Datenexfiltration. Stattdessen steht die schnelle, automatisierte Verbreitung im Vordergrund. Genau diese Eigenschaft kann jedoch folgenschwere Kettenreaktionen in Partner- und Kundenökosystemen auslösen.
Infektionskette: ZIP/LNK, PowerShell, C2 und Persistenz
Die Angriffskette folgt einem erprobten Windows-Muster: Nach dem Öffnen des Anhangs wird das Opfer zum Start einer LNK-Verknüpfung verleitet. Der Shortcut triggert unbemerkt einen PowerShell-Befehl (MITRE ATT&CK: T1059.001), der den Primärloader von einem externen Host nachlädt (etwa sorvetenopoate[.]com). Anschließend setzt ein Batch-Skript Persistenz, indem es sich in den Autostart kopiert (T1547), und stellt die Verbindung zum Command-and-Control (C2) der Angreifer her, um weitere Instruktionen oder Module zu beziehen.
Selbstverbreitung über WhatsApp Web
Der wesentliche Differenziator ist die Auto-Propagation: Nach der Aktivierung verschickt SORVEPOTEL ZIP-Dateien automatisiert an Kontakte und Gruppen über WhatsApp Web auf dem kompromittierten PC. Das resultiert in massenhaftem Spam, der häufig zur Account-Sperrung wegen Regelverstößen führt. Obwohl derzeit keine Datendiebstähle belegt sind, erzeugt der unkontrollierte Versand erhebliche Störungen in Kommunikation und Abläufen.
Auswirkungen auf Unternehmen: mehr als nur Spam
Auch ohne Ransomware-Funktionalität ist die Kette aus LNK → PowerShell → Netz-Download → Persistenz → C2 typisch für frühe Phasen „lebender“ Angriffe. Sie schafft ein Einfallstor für nachgelagerte Payloads – von Spionagekomponenten bis zu lateralem Bewegen im Netzwerk (z. B. T1021). Zudem erhöht die Verbreitung über unternehmensbezogene WhatsApp-Kanäle die Wahrscheinlichkeit sekundärer Vorfälle bei Geschäftspartnern. Die Folge sind operative Unterbrechungen, Incident-Handling-Aufwände und Vertrauensverlust bei Stakeholdern.
Empfohlene Schutzmaßnahmen für Windows und WhatsApp Web
Angriffsfläche reduzieren: PowerShell auf Constrained Language Mode setzen, Script Block Logging und Transcription aktivieren, Ausführung für nicht-administrative Konten einschränken. Start von LNK-Dateien aus Download- und Temp-Verzeichnissen mit AppLocker/WDAC kontrollieren.
E-Mail und Messenger härten: ZIP-Anhänge standardmäßig blockieren oder sandboxen – vor allem aus externen, nicht vertrauenswürdigen Quellen. Monitoring und DLP-Richtlinien für WhatsApp Web auf Arbeitsstationen einführen, um unautorisierte Dateiversendungen zu erkennen.
Netzwerk- und C2-Kontrolle: DNS-Filterung implementieren, verdächtige Domains und IPs blockieren, Proxy-Logging aktivieren. Ausgehende Verbindungen auf Anomalien prüfen, insbesondere spontane PowerShell-Downloads und seltene User-Agent-Strings (T1105/Netztransfer).
EDR und Härtung: EDR-Lösungen mit Verhaltensdetektion für LNK → PowerShell → BAT-Ketten einsetzen, Autostart-Änderungen in Registry und Dateisystem überwachen. Regelmäßig patchen, inklusive Browser- und Messenger-Komponenten.
Awareness und Prozesse: Mitarbeitende zu Messenger-Phishing schulen; typische Lockmittel wie „Belege“ oder „medizinische Apps“ in ZIP-Archiven klar benennen. Notfallpläne vorhalten, um kompromittierte WhatsApp-Konten zügig zu sperren und Kommunikationspfade umzuschalten.
SORVEPOTEL unterstreicht, wie Angreifer populäre Plattformen wie WhatsApp Web für massives, benutzerfreundliches Social Engineering nutzen. Organisationen sollten Messenger-Nutzung am Arbeitsplatz neu bewerten, Skript- und Makroausführungen strenger regulieren und telemetriebasierte Anomalieerkennung etablieren. Wer die Kette LNK → PowerShell → C2 früh kappt, senkt das Risiko operativer Ausfälle und unterbindet Kaskadeneffekte in der Partnerlandschaft.
