Аналитики Trend Micro зафиксировали новую кампанию, нацеленную на пользователей WhatsApp в Бразилии: самораспространяющаяся малварь SORVEPOTEL заражает Windows‑системы и оперативно масштабирует рассылку через WhatsApp Web. Исследователи подчеркивают: цель оператора — скорость распространения и охват, а не кража данных или вымогательство.
Что известно об угрозе SORVEPOTEL: цели, география, мотивация
По данным Trend Micro, активность SORVEPOTEL почти полностью сосредоточена в Бразилии: зафиксировано 457 из 477 заражений в стране. В зону риска попадают государственные структуры и организации в секторах госуслуг, производства, технологий, образования и строительства. Приманки выглядят правдоподобно — это ZIP‑архивы под видом чеков или приложений для здоровья, ориентированные на открытие именно на ПК, что указывает на интерес злоумышленников к корпоративной среде.
Вектор атаки: от ZIP и LNK до PowerShell и закрепления
Цепочка заражения построена на привычной, но по-прежнему результативной комбинации артефактов Windows. После открытия вложения жертву подталкивают запустить Windows Shortcut (файл LNK). Ярлык незаметно стартует PowerShell‑скрипт, который загружает основной модуль с внешнего хоста (например, sorvetenopoate[.]com).
Авторассылка через WhatsApp Web
Ключевая особенность SORVEPOTEL — самораспространение. После активации вредонос автоматически отправляет ZIP‑файлы всем контактам и группам через WhatsApp Web на зараженном ПК. Это порождает массовый спам и нередко приводит к блокировке аккаунта за нарушение правил мессенджера. По текущим наблюдениям, нет признаков того, что доступ используется для кражи данных или шифрования файлов, однако сам факт компрометации и неконтролируемой рассылки создает серьезные операционные и репутационные риски.
Загруженный модуль представляет собой batch‑скрипт, который обеспечивает закрепление: копирует себя в папку автозагрузки Windows для старта при входе в систему. Далее выполняется PowerShell‑команда для обращения к серверу управления (C2) злоумышленников с целью получения инструкций или дополнительных компонентов. Такая архитектура упрощает обновление кампании и быстрое изменение тактики.
Почему атака опасна для бизнеса
Хотя SORVEPOTEL не демонстрирует вымогательской функциональности, цепочка заражения типична для начальной стадии многих «живых» атак: LNK + PowerShell, загрузка модулей по сети, закрепление через автозагрузку, связь с C2. Это создает окно возможностей для эскалации — от дальнейшего внедрения шпионских модулей до lateral movement. Дополнительно, авторассылка через корпоративные WhatsApp‑каналы повышает вероятность вторичных инцидентов у партнеров и клиентов, а блокировки аккаунтов нарушают бизнес‑процессы и коммуникации.
Рекомендации по защите Windows и WhatsApp Web
Снижение поверхности атаки: ограничьте выполнение PowerShell для непрофильных пользователей, включите Constrained Language Mode и аудит скриптового движка. Контролируйте запуск LNK‑ярлыков из каталогов загрузок и временных папок средствами AppLocker/WDAC.
Почта и мессенджеры: блокируйте и песочьте вложения ZIP по умолчанию, особенно полученные вне доменных доверенных зон. Настройте мониторинг и DLP‑политику для файлов, отправляемых через WhatsApp Web на рабочих станциях.
Сетевой контроль: применяйте DNS‑фильтрацию и блокируйте подозрительные домены C2. Включите прокси‑аудит для PowerShell (Script Block Logging, Transcription) и отслеживайте аномалии исходящих соединений с рабочих мест пользователей.
ОС и EDR: используйте EDR с поведенческими детекторами для LNK→PowerShell→BAT цепочек, включите контроль автозагрузки и реагирование на изменение соответствующих реестровых ключей/каталогов. Проводите регулярные обновления и патчинг.
Обучение персонала: обучайте сотрудников распознаванию фишинга в мессенджерах; подчеркивайте, что «чеки» и «медицинские приложения» в ZIP‑архивах — распространенные приманки.
Использование SORVEPOTEL демонстрирует, насколько эффективно злоумышленники эксплуатируют популярные коммуникационные платформы для молниеносного распространения вредоносного ПО при минимальном участии пользователя. Организациям стоит пересмотреть контроль работы мессенджеров на рабочих станциях, ужесточить политику запуска скриптов и вложений, а также внедрить мониторинг аномальной активности в WhatsApp Web. Чем быстрее будет обнаружена и прервана цепочка LNK→PowerShell→C2, тем ниже риск операционных сбоев и цепных заражений партнерской экосистемы.
