محققان Trend Micro از شناسایی یک کمپین بدافزاری تازه با نام SORVEPOTEL خبر دادند که سازمانهای برزیلی را هدف گرفته است و با سرعت بالا از طریق پیامهای جعلی در واتساپ تکثیر میشود.
۰
منبع : the hacker news
به گزارش افتانا، محققان امنیتی هشدار دادهاند که کاربران برزیلی هدف یک بدافزار تازه قرار گرفتهاند که از طریق پیامرسان محبوب واتساپ گسترش پیدا میکند. این کمپین که توسط شرکت Trend Micro با نام SORVEPOTEL شناسایی شده، از اعتماد کاربران به واتساپ سوءاستفاده میکند و بهجای سرقت داده یا اجرای باجافزار، بیشتر با هدف گسترش سریع و خودکار طراحی شده است.
به گفته پژوهشگران، SORVEPOTEL از طریق پیامهای فیشینگ حاوی فایلهای ZIP آلوده در ویندوز منتشر میشود. نکته جالب اینجاست که باز کردن فایل تنها در نسخه دسکتاپ واتساپ امکانپذیر است، موضوعی که نشان میدهد مهاجمان احتمالاً بیشتر به دنبال هدف قرار دادن سازمانها و کسبوکارها هستند تا کاربران عادی.
پس از باز شدن فایل آلوده، بدافزار بهطور خودکار از طریق نسخه وب دسکتاپ واتساپ تکثیر میشود و در نهایت باعث میشود حسابهای آلوده به دلیل ارسال انبوه پیامهای اسپم، توسط واتساپ مسدود شوند. تا این لحظه نشانهای از سرقت اطلاعات یا رمزگذاری فایلها مشاهده نشده است.
طبق گزارشها، از مجموع ۴۷۷ مورد آلودگی، دستکم ۴۵۷ مورد در برزیل رخ داده و بیشترین قربانیان مربوط به نهادهای دولتی، خدمات عمومی، صنایع تولیدی، شرکتهای فناوری، آموزش و بخش ساختوساز بودهاند.
مبدا حمله یک پیام فیشینگ است که از سوی یکی از مخاطبان آلوده کاربر ارسال میشود تا واقعی به نظر برسد. این پیام حاوی یک فایل ZIP است که معمولاً خود را به شکل یک رسید پرداخت یا فایل مرتبط با اپلیکیشنهای سلامت جا میزند. در برخی موارد نیز مهاجمان از ایمیلهای ظاهراً معتبر برای توزیع همین فایلهای آلوده استفاده کردهاند.
کاربر در صورت فریب خوردن، فایل ZIP را باز کرده و در نهایت یک فایل میانبُر (LNK) در ویندوز اجرا میشود. این فایل به صورت پنهانی یک اسکریپت PowerShell را راهاندازی میکند که وظیفه دارد بدافزار اصلی را از سرور خارجی (مانند sorvetenopoate[.]com) دانلود کند.
بارگذاریشده اصلی یک فایل Batch است که خود را در پوشه Startup ویندوز کپی میکند تا در هر بار روشن شدن سیستم دوباره فعال شود. سپس دستوراتی را از سرور فرماندهی و کنترل (C2) دریافت کرده و آماده اجرای فعالیتهای مخرب بعدی میشود.
ویژگی مرکزی SORVEPOTEL مکانیزم انتشار از طریق واتساپ است. هرگاه بدافزار متوجه فعال بودن واتساپ وب روی سیستم آلوده شود، فایل ZIP مخرب را به همه مخاطبان و گروههای کاربر ارسال میکند و همین باعث گسترش سریع آن میشود.
به گفته Trend Micro، این فرایند خودکار حجم زیادی پیام اسپم ایجاد میکند و اغلب منجر به تعلیق یا مسدود شدن حسابهای قربانی به دلیل نقض قوانین واتساپ میشود.
این شرکت هشدار داده که کمپین SORVEPOTEL نشاندهنده رویکرد تازه مهاجمان سایبری است که از پلتفرمهای ارتباطی پرکاربر مانند واتساپ برای انتشار سریع و گسترده بدافزار، آن هم با حداقل تعامل کاربر، استفاده میکنند.
کد مطلب : 23146
https://aftana.ir/vdcfvyd0.w6dmjagiiw.htmlaftana.ir/vdcfvyd0.w6dmjagiiw.html
تگ ها
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵