Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware SORVEPOTEL-Malware

SORVEPOTEL-Malware

Von Mezo in Malware
Übersetzen Sie in:

Eine rasante Malware-Kampagne namens SORVEPOTEL nutzt das Vertrauen der Nutzer in WhatsApp aktiv aus, um sich in Windows-Umgebungen zu verbreiten. Im Gegensatz zu vielen modernen Angriffen, die auf Datendiebstahl oder Ransomware abzielen, ist diese Kampagne auf eine schnelle und großflächige Verbreitung optimiert – was sie besonders gefährlich in Unternehmenskontexten macht, wo ein einzelner kompromittierter Desktop zahlreiche weitere Infektionen auslösen kann.

Was ist SORVEPOTEL

SORVEPOTEL ist eine sich selbst verbreitende Windows-Malware-Familie, die Social Engineering und die Desktop-/Web-Version von WhatsApp nutzt, um schädliche Anhänge an die Kontakte und Gruppen eines Opfers zu verteilen. Ihr Hauptziel scheint die schnelle Verbreitung und der Missbrauch von Konten (was zu Spam und Kontosperrungen führt) zu sein, nicht die sofortige Datenexfiltration oder Dateiverschlüsselung.

Wie Opfer angelockt werden

Angreifer beginnen mit einem kompromittierten WhatsApp-Kontakt oder in manchen Fällen mit einer scheinbar legitimen E-Mail. Die Nachricht enthält eine ZIP-Datei, die als harmloses Objekt getarnt ist (z. B. eine Quittung oder eine Gesundheits-App-Datei). Öffnet der Empfänger die ZIP-Datei auf einem Desktop, laufen typischerweise folgende Schritte ab:

  • Das Opfer wird dazu verleitet, eine Windows-Verknüpfung (LNK) innerhalb des Archivs zu starten.
  • Der LNK führt im Hintergrund einen PowerShell-Befehl aus, der die Nutzlast der nächsten Stufe von einem externen Host herunterlädt (ein bekanntes Beispiel ist sorvetenopoate.com).

Die abgerufene Nutzlast ist ein Batch-Skript, das Persistenz herstellt und weitere Befehle ausführt.

Ausführungsdetails und Persistenzmechanismen

Nach der Installation kopiert sich das Batch-Skript in den Windows-Autostart-Ordner und wird nach dem Systemstart automatisch ausgeführt. Außerdem ruft es PowerShell auf, um einen Command-and-Control-Server (C2) zu kontaktieren und weitere Anweisungen oder Komponenten abzurufen. Dadurch bleibt die Malware im System und kann Remote-Befehle von den Betreibern annehmen.

WhatsApp als Verbreitungsmaschine

Ein Kernmerkmal von SORVEPOTEL ist seine WhatsApp-fähige Verbreitungsroutine. Wenn die Malware erkennt, dass WhatsApp Web (der Desktop-/Web-Client) auf dem infizierten Computer aktiv ist, automatisiert sie die Verbreitung derselben schädlichen ZIP-Datei an:

  • Alle Kontakte, die mit dem kompromittierten Konto verknüpft sind, und
  • Alle Gruppen, zu denen das Konto gehört.

Diese automatisierte Verteilung erzeugt ein sehr hohes Volumen an ausgehendem Spam, der häufig die Missbrauchserkennung von WhatsApp auslöst und zur Sperrung oder zum Verbot von Konten führt.

Umfang und wer betroffen ist

Die Kampagne konzentriert sich bisher vor allem auf Brasilien: 457 der 477 registrierten Infektionen stammen von dort. Die betroffenen Organisationen kommen aus verschiedenen Sektoren, insbesondere:

  • Regierung und öffentliche Dienste
  • Herstellung
  • Technologie
  • Ausbildung
  • Konstruktion

Bemerkenswerterweise scheinen die Betreiber den erlangten Zugriff nicht für massenhaften Datendiebstahl oder den Einsatz von Ransomware genutzt zu haben; die erkennbaren Folgen waren eine aggressive Verbreitung und Kontomissbrauch.

Zusätzliche beobachtete Verteilungsvektoren

Obwohl WhatsApp-basierte Nachrichten der primäre Verbreitungsweg sind, haben Analysten Hinweise darauf gefunden, dass Angreifer dieselben schädlichen ZIP-Anhänge auch per E-Mail verteilen und dabei manchmal scheinbar legitime Absenderadressen verwenden, um die Glaubwürdigkeit zu erhöhen.

Warum diese Kampagne bemerkenswert ist

SORVEPOTEL veranschaulicht einen Trend, bei dem Angreifer gängige Kommunikationsplattformen ausnutzen, um ihre Reichweite mit minimaler Benutzerinteraktion zu vervielfachen. Durch die Nutzung eines vertrauenswürdigen Kontakts und der praktischen Nutzung von WhatsApp Web erreicht die Malware eine schnelle laterale Verbreitung in Unternehmen, ohne dass komplexe Datendiebstahlkomponenten erforderlich sind.

Schlussbemerkung

SORVEPOTEL erinnert daran, dass soziale Plattformen attraktive Verbreitungskanäle für Malware sind. Schnelle Erkennung, Benutzerschulung und Kontrollen, die die Skriptausführung einschränken und Messaging-Clients auf Desktops überwachen, reduzieren die Angriffsfläche dieser Kampagne erheblich.

Im Trend

Am häufigsten gesehen

Wird geladen...