Un nuovo malware minaccia gli utenti brasiliani su WhatsApp
Gli utenti brasiliani di WhatsApp sono stati recentemente presi di mira da un nuovo malware che si auto-propaga, sfruttando la fiducia nella popolare app di messaggistica per diffondersi rapidamente. Questa campagna, denominata SORVEPOTEL da Trend Micro, si concentra sulla velocità e la propagazione piuttosto che sul furto di dati o ransomware. Il malware si diffonde attraverso sistemi Windows utilizzando messaggi di phishing con allegati ZIP dannosi.
Come funziona l’attacco SORVEPOTEL
Il punto di partenza dell’attacco è un messaggio di phishing inviato da un contatto già compromesso su WhatsApp, che conferisce al messaggio una parvenza di credibilità. Questo messaggio contiene un allegato ZIP che si maschera come una ricevuta innocua o un file relativo alla salute. Una volta aperto, il malware si propaga automaticamente tramite la versione web desktop di WhatsApp, portando infine al ban degli account infetti per spam eccessivo.
È interessante notare che il messaggio di phishing richiede agli utenti di aprire l’allegato su un desktop, suggerendo che gli attori della minaccia potrebbero essere più interessati a colpire le imprese piuttosto che i consumatori. Inoltre, ci sono prove che gli operatori dietro la campagna abbiano utilizzato anche e-mail per distribuire i file ZIP da indirizzi apparentemente legittimi.
Impatto e diffusione del malware
La stragrande maggioranza delle infezioni, 457 su 477 casi, è concentrata in Brasile. I settori più colpiti includono il governo, il servizio pubblico, il manifatturiero, la tecnologia, l’istruzione e le costruzioni. Non ci sono indicazioni che gli attori della minaccia abbiano sfruttato l’accesso per estrarre dati o criptare file, ma l’impatto del malware è comunque significativo.
Se il destinatario cade nella trappola e apre l’allegato, viene attirato nell’apertura di un file di scorciatoia di Windows (LNK). Quando lanciato, questo file innesca silenziosamente l’esecuzione di uno script PowerShell che recupera il carico utile principale da un server esterno.
Considerazioni finali
La campagna SORVEPOTEL rappresenta una minaccia significativa per gli utenti di WhatsApp in Brasile, evidenziando l’importanza di essere vigili contro i messaggi di phishing. Anche se il malware non sembra mirare al furto di dati, la sua capacità di diffondersi rapidamente e causare il ban degli account infetti è preoccupante. Gli utenti dovrebbero essere cauti nell’aprire allegati da fonti sconosciute e considerare l’implementazione di misure di sicurezza aggiuntive per proteggere i propri sistemi. La crescente sofisticazione di tali attacchi sottolinea la necessità di una maggiore consapevolezza e preparazione nel mondo digitale.
Fonte: The Hackers News
