Los usuarios brasileños se han convertido en el objetivo de un nuevo malware de autopropagación que se propaga a través de la popular aplicación de mensajería WhatsApp.
La campaña, cuyo nombre en código es SORVEPOTEL de Trend Micro, utiliza como arma la confianza depositada en la plataforma para extender su alcance a los sistemas Windows, añadiendo que el ataque está «diseñado para la velocidad y la propagación» y no para el robo de datos o el ransomware.
«Se ha observado que SORVEPOTEL se propaga por los sistemas Windows a través de mensajes de suplantación de identidad convincentes con archivos adjuntos maliciosos», dijeron los investigadores Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos y Paul John Bardon dijo .
«Curiosamente, el mensaje de suplantación de identidad que contiene el archivo adjunto malicioso exige que los usuarios lo abran en un escritorio, lo que sugiere que los actores de amenazas podrían estar más interesados en atacar a las empresas que a los consumidores».
Una vez que se abre el archivo adjunto, el malware se propaga automáticamente a través de la versión web de escritorio de WhatsApp, lo que en última instancia provoca la prohibición de las cuentas infectadas por enviar spam excesivo. No hay indicios de que los actores de la amenaza hayan aprovechado el acceso para filtrar datos o cifrar archivos.
La gran mayoría de las infecciones (457 de los 477 casos) se concentran en Brasil, siendo las entidades de los sectores gubernamental, de servicio público, manufacturero, tecnológico, educativo y de la construcción las más afectadas.
El punto de partida del ataque es un mensaje de suplantación de identidad enviado desde un contacto ya comprometido en WhatsApp para darle una apariencia de credibilidad. El mensaje contiene un archivo ZIP que se hace pasar por un recibo aparentemente inofensivo o un archivo relacionado con una aplicación de salud.
Dicho esto, hay pruebas que sugieren que los operadores detrás de la campaña también han utilizado correos electrónicos para distribuir los archivos ZIP desde direcciones de correo electrónico aparentemente legítimas.
Si el destinatario cae en la trampa y abre el archivo adjunto, se ve tentado a abrir un archivo de acceso directo de Windows (LNK) que, cuando se lanza, desencadena silenciosamente la ejecución de un script de PowerShell responsable de recuperar la carga útil principal de un servidor externo (por ejemplo, sorvetenopoate [.] com).
La carga útil descargada es un script por lotes diseñado para establecer la persistencia en el host copiándose a sí misma en la carpeta de inicio de Windows para que se inicie automáticamente tras el inicio del sistema. También está diseñado para ejecutar un comando de PowerShell que se dirige a un servidor de comando y control (C2) para obtener más instrucciones o componentes maliciosos adicionales.
El mecanismo de propagación centrado en WhatsApp es fundamental para las operaciones de SORVEPOTEL. Si el malware detecta que WhatsApp Web está activo en el sistema infectado, procede a distribuir el archivo ZIP malicioso a todos los contactos y grupos asociados a la cuenta comprometida de la víctima, lo que permite que se propague rápidamente.
«Esta propagación automatizada da como resultado un gran volumen de mensajes de spam y, con frecuencia, conduce a suspensiones o prohibiciones de cuentas debido a violaciones de las condiciones de servicio de WhatsApp», afirma Trend Micro.
«La campaña SORVEPOTEL demuestra cómo los actores de amenazas aprovechan cada vez más las plataformas de comunicación populares como WhatsApp para lograr una propagación rápida y a gran escala del malware con una interacción mínima con el usuario».