サイバーニュース.jp

世界のサイバーなニュースを配信

WhatsAppが悪用されWindowsシステムにSORVEPOTELマルウェアが拡散

カテゴリ:

, , , , , , , , ,

概要

「SORVEPOTEL」と名付けられた攻撃的なマルウェアキャンペーンが、WhatsAppメッセージを悪用してWindowsシステムに侵入しています。このキャンペーンはブラジルを中心に展開されており、データ窃盗やランサムウェアによる恐喝ではなく、自己増殖を主な目的としています。ソーシャルな信頼と自動化を悪用し、急速な拡散を狙っています。

Trend Researchのテレメトリーデータによると、検出された477件の感染のうち457件がブラジルで発生しており、主に政府機関や公共サービス機関、製造業、テクノロジー、教育、建設業界が標的となっています。

攻撃の仕組み

攻撃は、ユーザーが侵害された連絡先(同僚や友人になりすますことが多い)からWhatsAppでフィッシングメッセージを受け取ることから始まります。これらのポルトガル語のメッセージには、正規の文書に見せかけたZIPアーカイブ(例:「RES-20250930_112057.zip」、「ORCAMENTO_114418.zip」)が含まれており、「baixa o zip no PC e abre」(PCにZIPをダウンロードして開いてください)と促します。

電子メールも代替の感染経路として利用されており、「COMPROVANTE_20251001_094031.zip」のようなZIP添付ファイルを含むフィッシングメールが、正規に見える送信元アドレスから送られています。

ZIPファイルの中には、実行されると密かにPowerShellまたはコマンドラインスクリプトを起動するWindowsショートカット(.LNK)ファイルが含まれています。このスクリプトは、攻撃者が管理するタイポスクワッティングされたドメイン(例:sorvetenopoate[.]com、expahnsiveuser[.]com、sorvetenopotel[.]com)から主要なペイロードをダウンロードします。これらのLNKファイルは、基本的なアンチウイルス検出を回避し、キャンペーンが足がかりを維持することを可能にしています。

永続性とペイロードの実行

ダウンロードされたペイロードは通常、バッチ(.BAT)スクリプトであり、自身をWindowsのスタートアップフォルダにコピーすることで永続性を確保し、システム起動時に必ず実行されるようにします。このスクリプトは、Base64エンコーディングを使用してパラメータを難読化し、隠しモードで難読化されたPowerShellコマンドを組み立てて実行します。

デコードされたスクリプトは、複数のコマンド&コントロール(C&C)サーバーに接続し、Invoke-Expressionを介して追加のインメモリペイロードをダウンロードして実行します。これにより、ディスクへの書き込みを回避し、フォレンジックトレースを減らします。マルウェアはC&Cインフラストラクチャとの継続的な通信を維持し、脅威アクターが指示を更新したり、セカンダリモジュールを展開したりすることを可能にしています。現在のキャンペーン活動では、データ窃盗やファイル暗号化の証拠は見られず、自己増殖に重点が置かれていることが示されています。

WhatsApp Webセッションの悪用と自己増殖

SORVEPOTELの顕著な特徴は、感染したマシン上でアクティブなWhatsApp Webセッションを検出する能力です。認証されたセッションを特定すると、マルウェアは同じ悪意のあるZIPファイルを被害者のアドレス帳内のすべての連絡先とグループに自動的に再配布します。この自動転送メカニズムが指数関数的な拡散を促進し、標的をスパムで溢れさせ、多くの場合、侵害されたアカウントがWhatsAppの利用規約違反で停止または禁止される結果となります。

SORVEPOTELの背後にいる脅威アクターは、複数のレベルで難読化を悪用しています。これには、「sorvete no pote」(カップ入りアイスクリーム)という無害なフレーズを模倣したタイポスクワッティングされたドメインや、暗号化およびエンコーディングされたコマンドの埋め込みが含まれます。cliente[.]rte[.]com[.]brなどの追加インフラストラクチャもマルウェア配布に利用されており、適応と配信チャネルの多様化が進行中であることを示しています。

緩和策

SORVEPOTELキャンペーンは、人気のあるメッセージングプラットフォームがマルウェア配布の増幅器として機能する可能性を浮き彫りにしています。最小限のユーザー操作で急速な自己増殖を行うことは、ソーシャルエンジニアリングと自動化が組み合わされた脅威の進化を示すものです。

  • 組織は堅牢なフィッシング対策を強化する必要があります。
  • 可能であれば、LNKファイルの自動実行を無効にするべきです。
  • 異常なWhatsApp Webセッションの動作を監視することが重要です。
  • ユーザーへの意識向上トレーニングは不可欠であり、従業員はメッセージングアプリを介して受信した添付ファイルを開く際に注意を払う必要があります。

Trend MicroはSORVEPOTELを継続的に追跡しており、最新のエンドポイントセキュリティソリューションの維持、最小権限の原則の適用、およびメッセージングプラットフォームを標的とする新たな技術に対する警戒を怠らないよう助言しています。

元記事: https://gbhackers.com/sorvepotel-malware/

投稿をさらに読み込む