Зловред SORVEPOTEL распространяется через веб-версию WhatsApp на Windows

Зловред SORVEPOTEL распространяется через веб-версию WhatsApp на Windows

Зловред SORVEPOTEL распространяется через веб-версию WhatsApp на Windows

Специалисты зафиксировали новую вредоносную кампанию, нацеленную на пользователей популярного мессенджера WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России). В Trend Micro дали ей название SORVEPOTEL и отмечают, что это необычный зловред — он не ворует данные и не шифрует файлы, а сосредоточен на максимально быстром распространении.

Главная особенность атаки — использование доверия к самому WhatsApp. Рассылка начинается с фишинговых сообщений, отправленных с уже скомпрометированных аккаунтов, что делает их особенно убедительными.

В письмах или сообщениях жертве приходит ZIP-файл, замаскированный под чек или документ, связанный со здоровьем.

Как только пользователь открывает архив на компьютере, запускается LNK-файл (ярлык Windows), который в фоне активирует PowerShell-скрипт. Этот скрипт загружает основной вредоносный компонент с внешнего сервера (например, sorvetenopoate[.]com) и прописывает его в автозагрузку Windows. После перезагрузки система снова запускает зловред, который связывается с управляющим сервером для получения новых команд.

Но главное — способ распространения. Если на заражённом компьютере активна веб-версия WhatsApp, зловред начинает рассылать заражённый ZIP-файл всем контактам и группам жертвы. В результате аккаунт быстро превращается в источник спама, что нередко заканчивается его блокировкой за нарушение правил сервиса.

По данным Trend Micro, 477 случаев заражения зафиксированы почти исключительно в Бразилии. Среди пострадавших — представители госсектора, промышленности, ИТ, образования и строительства.

 

Интересно, что атака рассчитана именно на десктопные версии WhatsApp, а не на мобильные устройства. Это может указывать на попытку злоумышленников поражать корпоративные сети, где сотрудники пользуются веб-версией WhatsApp для общения с коллегами или клиентами.

Эксперты предупреждают: кампания SORVEPOTEL показывает, насколько быстро злоумышленники адаптируются к привычным каналам коммуникации. Популярные платформы вроде WhatsApp всё чаще становятся инструментами для массового распространения зловредов — без необходимости сложных взломов и с минимальным участием пользователя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая схема с лже-налогом получает широкое распространение

В России зафиксирована новая волна фишинговых атак. Злоумышленники рассылают письма от имени банков с сообщениями о введении «нового налога». Их цель — получить данные для входа в онлайн-банк.

О кампании сообщило РИА Новости со ссылкой на МВД. По данным ведомства, организаторы атак массово направляют клиентам крупных банков письма, якобы от имени кредитных организаций, где говорится, что со счетов пользователей ежемесячно будет списываться новый налог.

В письмах фигурируют суммы от нескольких десятков до сотен тысяч рублей. При этом злоумышленники тщательно копируют фирменный стиль и визуальное оформление сообщений, характерное для конкретного банка, чтобы рассылка выглядела максимально правдоподобно.

«При переходе по ссылке из письма открывается поддельный сайт банка, где пользователю предлагается указать номер телефона для входа в личный кабинет и подписания “заявления об отмене налога”. Мошенники перехватывают введённый номер, используют его на настоящем сайте банка и получают доступ к личному кабинету», — говорится в материалах МВД.

Основная активность организаторов атак, по наблюдениям экспертов, сместилась в сторону розничного сектора. Согласно исследованию BI.ZONE, на розницу сегодня приходится около половины всех фишинговых атак и треть случаев онлайн-мошенничества. Финансовая сфера, которая ранее лидировала по числу подобных инцидентов, теперь занимает второе место.

Кроме того, в текущем году наблюдается заметный рост фишинга, связанного с инвестиционными темами. Мошенники создают поддельные сайты инвестиционных платформ, внешне практически неотличимые от легитимных, и тем самым обманывают пользователей, предлагая им «выгодные возможности для вложений».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru