Аналітики Trend Micro зафіксували цілеспрямовану кампанію проти користувачів WhatsApp у Бразилії: шкідливе ПЗ SORVEPOTEL інфікує Windows-комп’ютери та автоматично розповсюджує себе через WhatsApp Web. Пріоритет операторів — швидкість і масштаб охоплення, а не крадіжка даних чи вимагання, що робить інцидент нетиповим, але операційно небезпечним.
Масштаб і фокус атаки: Бразилія, корпоративні користувачі та реальні ризики
За даними Trend Micro, більшість інфекцій локалізовано в Бразилії: 457 з 477 зареєстрованих випадків. У зоні ризику — державні органи та компанії з секторів держпослуг, виробництва, технологій, освіти й будівництва. Використовуються правдоподібні приманки у форматі ZIP — «чеки» або «додатки для здоров’я», орієнтовані на запуск із ПК, що опосередковано свідчить про інтерес до корпоративного середовища.
Ланцюжок компрометації: ZIP, LNK, PowerShell і закріплення у системі
Після відкриття вкладення користувача спонукають запустити ярлик Windows (файл LNK). Далі непомітно стартує PowerShell-скрипт, який завантажує основний модуль з віддаленого ресурсу (наприклад, sorvetenopoate[.]com). Такий підхід відповідає відомим технікам MITRE ATT&CK: User Execution (T1204), PowerShell (T1059.001) і Ingress Tool Transfer (T1105).
Автоматичне саморозповсюдження через WhatsApp Web
Ключова особливість SORVEPOTEL — масова авто-розсилка архівів ZIP усім контактам і групам у WhatsApp Web з інфікованого ПК. Це породжує лавиноподібний спам і нерідко завершується блокуванням облікового запису за порушення правил сервісу. Водночас дослідники не виявили ознак викрадення даних чи шифрування файлів; однак сама неконтрольована розсилка створює вагомі операційні та репутаційні ризики.
Завантажений модуль — batch-скрипт, що закріплює загрозу у системі: копіює себе до папки автозапуску Windows для старту при логіні й виконує PowerShell-команди для зв’язку з C2-сервером керування. Закріплення та зв’язок із C2 корелюють із техніками Boot or Logon Autostart (T1547) і Command and Control over Web Protocols (T1071), спрощуючи швидке оновлення тактик атакувальників.
Чому це небезпечно для бізнесу: від початкової стадії до ескалації
Попри відсутність ознак рансомварі, застосований ланцюжок LNK→PowerShell→C2 є типовим для ранніх фаз «живих» атак. Він відкриває шлях до ескалації: розгортання шпигунських модулів, бічного переміщення мережею та подальшого розширення плацдарму атаки. Поширення через корпоративні канали WhatsApp підвищує ймовірність вторинних інцидентів у партнерів і клієнтів, а блокування облікових записів підриває бізнес-комунікації та підтримку клієнтів.
Практичні заходи безпеки для Windows і WhatsApp Web
Зменшення поверхні атаки. Обмежте виконання PowerShell для непрофільних користувачів, увімкніть Constrained Language Mode, логування Script Block і Transcription. Контролюйте запуск LNK з каталогів Downloads і Temp за допомогою AppLocker або Windows Defender Application Control (WDAC).
Пошта та месенджери. Блокуйте або песочте ZIP-вкладення за замовчуванням, особливо ззовні довірених доменів. Впровадьте моніторинг і DLP-політики для файлів, що надсилаються через WhatsApp Web на робочих станціях.
Мережевий контроль. Використовуйте DNS-фільтрацію, блокуйте підозрілі C2-домени, відслідковуйте аномальні вихідні підключення з робочих місць. Налаштуйте проксі-аудит для PowerShell і SIEM-кореляції за шаблонами LNK→PowerShell→BAT.
ОС і EDR. Застосовуйте EDR із поведінковими детекторами для ланцюжків LNK→PowerShell→BAT, контролюйте автозапуск і зміну критичних реєстрових ключів/каталогів, регулярно оновлюйте системи та застосовуйте патчі.
Навчання персоналу. Пояснюйте співробітникам, що ZIP-архіви з «чеками» чи «медичними додатками» — поширені приманки. Нагадуйте про ризики відкриття вкладень на ПК навіть у робочих чатах.
Використання SORVEPOTEL демонструє, наскільки ефективно зловмисники експлуатують популярні платформи для швидкісного поширення шкідливого ПЗ за мінімальної взаємодії користувача. Компаніям варто переглянути політику використання месенджерів на робочих станціях, посилити контроль запуску скриптів і вкладень та впровадити моніторинг аномалій у WhatsApp Web. Швидке виявлення і розрив ланцюжка LNK→PowerShell→C2 знижує ризик каскадних інцидентів у вашій і партнерській екосистемах; перевірте налаштування EDR, AppLocker/WDAC і PowerShell-логування вже сьогодні.
