WhatsApp-Malware SORVEPOTEL verbreitet sich selbst über Phishing-Nachrichten

Forscher warnen vor der neuen WhatsApp-Malware „SORVEPOTEL“, die sich über Phishing-Nachrichten verbreitet und viele Geräte verseucht hat.

Inhalt

• WhatsApp-Malware SORVEPOTEL zielt auf Windows ab
• So funktioniert die Verbreitung von SORVEPOTEL über WhatsApp Web
• Ziel: Unternehmen statt Privatnutzer im Fokus der Angreifer
• Technischer Ablauf: von infizierter ZIP-Datei über ein PowerShell-Skript
• Dauerhafte Infektion durch Batch-Skript und C2-Server
• Automatische Weiterleitung an WhatsApp-Kontakte und Gruppen
• WhatsApp-Malware SORVEPOTEL: Viele Infektionen in Brasilien – Risiko für Deutschland

Vorerst sind nur brasilianische Nutzer das Ziel der WhatsApp-Malware SORVEPOTEL geworden, die sich über die beliebte Messaging-App WhatsApp selbst verbreitet.

WhatsApp-Malware SORVEPOTEL zielt auf Windows ab

Die von Trend Micro mit dem Codenamen „SORVEPOTEL” bezeichnete Kampagne nutzt das Vertrauen in WhatsApp aus, um ihre Reichweite auf Windows-Systeme auszuweiten. Der Angriff ist eher auf Geschwindigkeit und Verbreitung ausgelegt als auf Datendiebstahl oder Ransomware.

„Es wurde beobachtet, dass sich SORVEPOTEL über überzeugende Phishing-Nachrichten mit bösartigen ZIP-Dateianhängen auf Windows-Systemen verbreitet”, so die Forscher Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos und Paul John Bardon.

So funktioniert die Verbreitung von SORVEPOTEL über WhatsApp Web

„Interessanterweise müssen Benutzer die Phishing-Nachricht mit dem bösartigen Dateianhang auf einem Desktop-PC öffnen, was darauf hindeutet, dass die Angreifer eher an Unternehmen als an Verbrauchern interessiert sind.”

Sobald der Anhang geöffnet wird, verbreitet sich die Malware automatisch über die Desktop-Webversion von WhatsApp. Dies führt letztendlich dazu, dass die infizierten Konten wegen übermäßiger Spam-Aktivitäten gesperrt werden. Es gibt bisher keine Anzeichen dafür, dass die Angreifer den Zugriff genutzt haben, um Daten zu exfiltrieren oder Dateien für Erpressungsversuche zu verschlüsseln.

Ziel: Unternehmen statt Privatnutzer im Fokus der Angreifer

Mit 457 von 477 Fällen konzentriert sich die überwiegende Mehrheit der Infektionen noch auf Brasilien. Am stärksten betroffen sind regierungsnahe Unternehmen, der öffentliche Dienst, Unternehmen aus der Fertigung dem Bauwesen, der Technologie und Organisationen der Bildung.

Da Brasilien eine große deutsche Community hat und Handel mit Deutschland treibt, ist eine Verbreitung auch hierzulande denkbar. Bei uns betrifft dies weniger die Regierung, sondern vielmehr Produktionsfirmen und Personaldienstleister, welche den Kontakt zu den Mitarbeitern über WhatsApp abwickeln.

Technischer Ablauf: von infizierter ZIP-Datei über ein PowerShell-Skript

Fällt der Empfänger auf den Trick herein und öffnet den Anhang, verleitet SORVEPOTEL ihn dazu, eine Windows-Verknüpfungsdatei (LNK) zu öffnen. Beim Start löst diese unbemerkt die Ausführung eines PowerShell-Skripts aus. Das Skript ruft wiederum die Hauptnutzlast von einem externen Server (z. B. sorvetenopoate[.]com) ab.

Leider gehört die Sensibilisierung für Malware-Angriffe immer noch nicht zu einer ordentlichen Ausbildung in Kommunikationsberufen. Unter anderem deshalb ist die Kampagne so erfolgreich. Wenn im Büro kaum jemand ordentlich geschult ist, gibt es keine Hindernisse, dass sich die Schadsoftware weiter verbreitet.

Dauerhafte Infektion durch Batch-Skript und C2-Server

Die heruntergeladene Nutzlast ist ein Batch-Skript, das darauf ausgelegt ist, sich auf dem Host dauerhaft zu etablieren. Dazu kopiert es sich selbst in den Windows-Startordner, sodass es nach einem Systemstart automatisch ausgeführt wird.

Zudem ist es darauf ausgelegt, einen PowerShell-Befehl auszuführen. Dieser stellt eine Verbindung zu einem Command-and-Control-Server (C2) her, um weitere Anweisungen oder zusätzliche schädliche Komponenten abzurufen.

Automatische Weiterleitung an WhatsApp-Kontakte und Gruppen

Im Mittelpunkt der SORVEPOTEL-Operationen steht der auf WhatsApp ausgerichtete Verbreitungsmechanismus. Wenn die Malware feststellt, dass WhatsApp Web auf dem infizierten System aktiv ist, verteilt sie die schädliche ZIP-Datei automatisch an alle Kontakte und Gruppen, die mit dem kompromittierten Konto des Opfers verbunden sind. Dadurch kann sie sich so schnell verbreiten.

„Diese automatisierte Verbreitung führt zu einer hohen Anzahl von Spam-Nachrichten. Und häufig zu Kontosperrungen oder -verboten aufgrund von Verstößen gegen die Nutzungsbedingungen von WhatsApp“, so Trend Micro.

„Die SORVEPOTEL-Kampagne zeigt, wie Bedrohungsakteure zunehmend beliebte Kommunikationsplattformen wie WhatsApp nutzen, um eine schnelle, groß angelegte Verbreitung von Malware mit minimaler Benutzerinteraktion zu erreichen.“

WhatsApp-Malware SORVEPOTEL: Viele Infektionen in Brasilien – Risiko für Deutschland

Noch deutet alles auf einen lokal begrenzten Testlauf der Cyberkriminellen in Brasilien hin. Ein Überschwappen nach Europa, besonders nach Deutschland, mit Ransomware im Gepäck, ist jedoch denkbar. Bitte seid dementsprechend vorsichtig und nutzt Virustotal, um eine Datei aus unbekannten Quellen zu überprüfen, bevor ihr sie öffnet. Auch oder gerade wenn ihr sie von einer euch bekannten Person erhaltet.