Sorvepotel malware
A Trend Micro kutatása egy különösen aggasztó jelenségre hívja fel a figyelmet: egy önterjedő kártevő jelent meg, amely a WhatsApp felületén keresztül terjed, és Brazíliában már több száz fertőzést regisztráltak. A kampány mögött álló SORVEPOTEL malware azért számít veszélyesnek, mert nemcsak hagyományos adathalász módszereket alkalmaz, hanem képes saját magát továbbküldeni az áldozat kapcsolati hálójában, így a bizalmi környezetet kihasználva sokkal nagyobb eséllyel fertőz meg új célpontokat. A támadás első lépése többnyire egy ZIP-fájl, amelyet a felhasználó ismerősétől érkező üzenetként kap meg, és amely ártalmatlannak tűnő dokumentumnak vagy nyugtának van álcázva. A csomag valójában egy LNK fájlt rejt, amely PowerShell segítségével további kártékony kódot tölt le, közvetlenül a memóriába injektálva azt, így a hagyományos víruskeresők számára nehezebben észlelhető.
A telepített komponensek célja, hogy minél mélyebb hozzáférést szerezzenek a fertőzött eszközön, képesek folyamatokba beépülni, adatokat gyűjteni, különösen pénzügyi műveleteket figyelni, valamint újabb modulokat letölteni és futtatni. A legaggasztóbb funkció azonban a WhatsApp Web automatikus kihasználása. Amint a kártevő észleli, hogy a böngészőben fut a WhatsApp, azonnal lekéri a felhasználó teljes kapcsolati és csoportlistáját, majd azonos üzenetet küld ki mindenkinek a fertőzött ZIP-fájllal. Mindezt a háttérben, a felhasználó tudta nélkül teszi, így a címzettek azt hihetik, hogy egy ismerősüktől kapták az állományt, és sokkal nagyobb hajlandóságot mutatnak a megnyitására. Ez a bizalmi lánc tette lehetővé, hogy a kampány rövid idő alatt széles körben elterjedjen, különösen olyan intézmények körében, amelyek közszolgáltatási, oktatási vagy technológiai feladatokat látnak el.
A fenyegetés nemcsak technikai értelemben újszerű, hanem társadalmi szempontból is komoly tanulságokat hordoz. Megmutatja, hogy a közösségi kommunikációs platformok, amelyeket mindennapi életünk és munkánk során rutinszerűen használunk, milyen könnyen válhatnak támadási csatornává, ha a bizalommechanizmusokat a támadók képesek kihasználni.
