Người dùng Brazil đang trở thành mục tiêu của một loại mã độc tự lây lan mới, phát tán qua ứng dụng nhắn tin phổ biến WhatsApp.
Chiến dịch này, được Trend Micro đặt tên mã là SORVEPOTEL, lợi dụng sự tin tưởng vào nền tảng để mở rộng phạm vi tấn công trên các hệ thống Windows. Các nhà nghiên cứu cho biết cuộc tấn công này được "thiết kế để lây lan nhanh chóng" hơn là để đánh cắp dữ liệu hoặc mã hóa đòi tiền chuộc (ransomware).
"SORVEPOTEL đã được ghi nhận lây lan trên các hệ thống Windows thông qua các tin nhắn phishing thuyết phục với tệp đính kèm ZIP độc hại," các nhà nghiên cứu Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos và Paul John Bardon cho biết.
"Điều đáng chú ý là tin nhắn phishing chứa tệp đính kèm độc hại yêu cầu người dùng mở trên máy tính để bàn, cho thấy các tác nhân đe dọa có thể quan tâm đến việc nhắm mục tiêu vào các doanh nghiệp hơn là người tiêu dùng."
Một khi tệp đính kèm được mở, mã độc sẽ tự động lây lan qua phiên bản WhatsApp Web trên máy tính để bàn, cuối cùng khiến các tài khoản bị nhiễm bị cấm do gửi quá nhiều spam. Không có dấu hiệu nào cho thấy các tác nhân đe dọa đã lợi dụng quyền truy cập để trích xuất dữ liệu hoặc mã hóa tệp.
Phần lớn các trường hợp lây nhiễm – 457 trong số 477 trường hợp – tập trung ở Brazil, với các tổ chức trong các lĩnh vực chính phủ, dịch vụ công, sản xuất, công nghệ, giáo dục và xây dựng bị ảnh hưởng nhiều nhất.
Điểm khởi đầu của cuộc tấn công là một tin nhắn phishing được gửi từ một liên hệ đã bị chiếm quyền kiểm soát trên WhatsApp để tạo vẻ đáng tin cậy. Tin nhắn chứa một tệp đính kèm ZIP giả mạo dưới dạng một biên lai hoặc tệp liên quan đến ứng dụng sức khỏe tưởng chừng vô hại.
Mặc dù vậy, có bằng chứng cho thấy những kẻ đứng sau chiến dịch này cũng đã sử dụng email để phân phối các tệp ZIP từ các địa chỉ email có vẻ hợp pháp.
Nếu người nhận mắc bẫy và mở tệp đính kèm, họ sẽ bị dụ mở một tệp Windows shortcut (LNK). Khi được khởi chạy, tệp này sẽ âm thầm kích hoạt thực thi một PowerShell script chịu trách nhiệm tải về payload chính từ một máy chủ bên ngoài (ví dụ: sorvetenopoate[.]com).
Payload được tải xuống là một batch script được thiết kế để thiết lập khả năng duy trì trên máy chủ bằng cách sao chép chính nó vào thư mục Windows Startup để nó tự động khởi chạy sau khi hệ thống khởi động. Nó cũng được thiết kế để chạy một lệnh PowerShell kết nối với máy chủ command-and-control (C2) để lấy thêm hướng dẫn hoặc các thành phần độc hại bổ sung.
Cơ chế lây lan tập trung vào WhatsApp là trọng tâm của các hoạt động của SORVEPOTEL. Nếu mã độc phát hiện WhatsApp Web đang hoạt động trên hệ thống bị nhiễm, nó sẽ tiến hành phân phối tệp ZIP độc hại đến tất cả các liên hệ và nhóm liên quan đến tài khoản bị xâm nhập của nạn nhân, cho phép nó lây lan nhanh chóng.
"Sự lây lan tự động này dẫn đến một lượng lớn tin nhắn spam và thường xuyên khiến các tài khoản bị đình chỉ hoặc cấm do vi phạm điều khoản dịch vụ của WhatsApp," Trend Micro cho biết.
"Chiến dịch SORVEPOTEL cho thấy cách các tác nhân đe dọa ngày càng tận dụng các nền tảng giao tiếp phổ biến như WhatsApp để đạt được sự lây lan mã độc quy mô lớn, nhanh chóng với tương tác tối thiểu từ người dùng."
