Зловред SORVEPOTEL распространяется через веб-версию WhatsApp на Windows

Зловред SORVEPOTEL распространяется через веб-версию WhatsApp на Windows

Зловред SORVEPOTEL распространяется через веб-версию WhatsApp на Windows

Специалисты зафиксировали новую вредоносную кампанию, нацеленную на пользователей популярного мессенджера WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России). В Trend Micro дали ей название SORVEPOTEL и отмечают, что это необычный зловред — он не ворует данные и не шифрует файлы, а сосредоточен на максимально быстром распространении.

Главная особенность атаки — использование доверия к самому WhatsApp. Рассылка начинается с фишинговых сообщений, отправленных с уже скомпрометированных аккаунтов, что делает их особенно убедительными.

В письмах или сообщениях жертве приходит ZIP-файл, замаскированный под чек или документ, связанный со здоровьем.

Как только пользователь открывает архив на компьютере, запускается LNK-файл (ярлык Windows), который в фоне активирует PowerShell-скрипт. Этот скрипт загружает основной вредоносный компонент с внешнего сервера (например, sorvetenopoate[.]com) и прописывает его в автозагрузку Windows. После перезагрузки система снова запускает зловред, который связывается с управляющим сервером для получения новых команд.

Но главное — способ распространения. Если на заражённом компьютере активна веб-версия WhatsApp, зловред начинает рассылать заражённый ZIP-файл всем контактам и группам жертвы. В результате аккаунт быстро превращается в источник спама, что нередко заканчивается его блокировкой за нарушение правил сервиса.

По данным Trend Micro, 477 случаев заражения зафиксированы почти исключительно в Бразилии. Среди пострадавших — представители госсектора, промышленности, ИТ, образования и строительства.

 

Интересно, что атака рассчитана именно на десктопные версии WhatsApp, а не на мобильные устройства. Это может указывать на попытку злоумышленников поражать корпоративные сети, где сотрудники пользуются веб-версией WhatsApp для общения с коллегами или клиентами.

Эксперты предупреждают: кампания SORVEPOTEL показывает, насколько быстро злоумышленники адаптируются к привычным каналам коммуникации. Популярные платформы вроде WhatsApp всё чаще становятся инструментами для массового распространения зловредов — без необходимости сложных взломов и с минимальным участием пользователя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На рынок вышел продукт Solar SIEM, объединяющий SIEM и SOAR

Группа компаний «Солар» вывела на рынок новый продукт — Solar SIEM, который объединяет две ключевые технологии в одном решении: SIEM и SOAR. Такой подход, по оценке разработчиков, позволяет сократить до 40% затрат на внедрение систем для центров мониторинга кибербезопасности (SOC).

По данным компании, продукт ориентирован на три категории заказчиков. Во-первых, это организации, создающие собственные SOC — банки, онлайн-ретейл, маркетплейсы и промышленность.

Во-вторых, компании, которые переходят с зарубежных SIEM-платформ. И в-третьих, пользователи гибридных SOC, совмещающих внутренний и внешний контур реагирования.

По оценкам аналитиков, рынок решений для анализа и реагирования на инциденты ИБ активно растёт. В 2024 году этот сегмент оценивался в 36,1 млрд рублей, а доля SIEM-решений — в 9,4 млрд с прогнозом роста до 14,1 млрд рублей к 2027 году. Развитию сегмента способствует и рынок сервисов MSSP — он может увеличиться с 26,1 млрд до 54,1 млрд рублей к 2028 году.

Новый продукт «Солара» призван закрыть ключевые потребности SOC-команд: автоматизировать мониторинг и реагирование, повысить эффективность аналитиков первых линий и предоставить возможность гибко настраивать процессы под специфику организации.

В компании отмечают, что отсутствие систем SIEM и SOAR в инфраструктуре повышает риск долгосрочных и «малошумных» атак. Только в первом полугодии 2025 года число атак, продолжающихся месяц и более, выросло на 16% — чаще всего под удар попадают госструктуры, промышленность, ИТ и медицина.

Solar SIEM объединяет функции обеих технологий на одной платформе, позволяя командам SOC видеть полную картину происходящего и быстрее реагировать на киберинциденты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru