Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware SORVEPOTEL

Malware SORVEPOTEL

Por Mezo en Software malicioso
Traducir a:

Una campaña de malware de rápida propagación llamada SORVEPOTEL está explotando activamente la confianza que los usuarios depositan en WhatsApp para propagarse en entornos Windows. A diferencia de muchos ataques modernos diseñados para el robo de datos o el ransomware, esta campaña está optimizada para una propagación rápida y a gran escala, lo que la hace especialmente peligrosa en entornos empresariales, donde un solo escritorio comprometido puede propagar muchas más infecciones.

¿Qué es SORVEPOTEL?

SORVEPOTEL es una familia de malware autopropagable para Windows que aprovecha la ingeniería social y la versión web/de escritorio de WhatsApp para distribuir archivos adjuntos maliciosos a los contactos y grupos de la víctima. Su objetivo principal parece ser la rápida propagación y el abuso de cuentas (lo que resulta en spam y bloqueos de cuentas), no la exfiltración inmediata de datos ni el cifrado de archivos.

Cómo se atrae a las víctimas

Los atacantes parten de un contacto de WhatsApp comprometido o, en algunos casos, de un correo electrónico aparentemente legítimo. El mensaje contiene un archivo ZIP camuflado en un elemento inofensivo (por ejemplo, un recibo o un archivo de una aplicación de salud). Si el destinatario abre el archivo ZIP en un ordenador, suelen ocurrir los siguientes pasos:

  • Se engaña a la víctima para que inicie un acceso directo de Windows (LNK) dentro del archivo.
  • El LNK ejecuta silenciosamente un comando de PowerShell que descarga la carga útil de la siguiente etapa desde un host externo (un ejemplo identificado es sorvetenopoate.com).

La carga útil recuperada es un script por lotes que establece persistencia y ejecuta más comandos.

Detalles de ejecución y mecanismos de persistencia

Una vez instalado, el script por lotes se copia a sí mismo en la carpeta de inicio de Windows para ejecutarse automáticamente tras el arranque del sistema. También invoca PowerShell para contactar con un servidor de Comando y Control (C2) para obtener instrucciones de seguimiento o para obtener componentes adicionales. Estos comportamientos permiten que el malware permanezca residente y acepte comandos remotos de los operadores.

WhatsApp como motor de propagación

Una característica fundamental de SORVEPOTEL es su sistema de propagación basado en WhatsApp. Si el malware detecta que WhatsApp Web (el cliente web/de escritorio) está activo en el equipo infectado, automatiza la distribución del mismo archivo ZIP malicioso a:

  • Todos los contactos vinculados a la cuenta comprometida, y
  • Todos los grupos a los que pertenece la cuenta.

Esta distribución automatizada produce un volumen muy alto de spam saliente, que a menudo activa la detección de abuso de WhatsApp y conduce a la suspensión o prohibición de cuentas.

Alcance y quién ha sido alcanzado

Hasta el momento, la campaña se concentra principalmente en Brasil: 457 de las 477 infecciones registradas se originaron allí. Las organizaciones afectadas abarcan varios sectores, en particular:

  • gobierno y servicios públicos
  • fabricación
  • tecnología
  • educación
  • construcción

Cabe destacar que los operadores no parecen haber utilizado el acceso obtenido para el robo masivo de datos o para implementar ransomware; el resultado observable ha sido una propagación agresiva y el abuso de cuentas.

Vectores de distribución adicionales observados

Aunque los mensajes basados en WhatsApp son la principal ruta de propagación, los analistas han encontrado evidencia de que los atacantes también distribuyen los mismos archivos adjuntos ZIP maliciosos por correo electrónico, a veces utilizando direcciones de remitentes aparentemente legítimas para aumentar la credibilidad.

Por qué esta campaña es notable

SORVEPOTEL ilustra una tendencia en la que los atacantes explotan las principales plataformas de comunicación para multiplicar su alcance con mínima interacción del usuario. Al utilizar un contacto de confianza y la comodidad de WhatsApp Web como arma, el malware logra una rápida propagación lateral entre organizaciones sin necesidad de componentes sofisticados para el robo de datos.

Nota de cierre

SORVEPOTEL nos recuerda que las plataformas sociales son canales de propagación atractivos para el malware. La detección rápida, la educación de los usuarios y los controles que limitan la ejecución de scripts y monitorean los clientes de mensajería en computadoras de escritorio reducirán considerablemente la superficie de ataque que explota esta campaña.

Tendencias

Mas Visto

Cargando...