SORVEPOTEL マルウェア
SORVEPOTELと呼ばれる、急速に広がるマルウェア攻撃キャンペーンは、WhatsAppに対するユーザーの信頼を悪用し、Windows環境全体に拡散しています。データ窃盗やランサムウェアを目的とした多くの最近の攻撃とは異なり、この攻撃キャンペーンは迅速かつ大規模な拡散を目的に最適化されており、1台のデスクトップが感染の温床となり、より多くの感染を引き起こす可能性がある企業環境では特に危険です。
目次
SORVEPOTELとは
SORVEPOTELは、ソーシャルエンジニアリングとWhatsAppのデスクトップ版/Web版を悪用し、被害者の連絡先やグループに悪意のある添付ファイルを配布する、自己増殖型のWindowsマルウェアファミリーです。主な目的は、迅速な拡散とアカウントの不正利用(スパムやアカウント停止につながる)であり、即時のデータ窃取やファイルの暗号化ではないようです。
被害者はどのように誘い込まれるか
攻撃者は、乗っ取られたWhatsAppの連絡先、あるいは場合によっては一見正当なメールから攻撃を開始します。メッセージには、無害なファイル(例えば、領収書やヘルスケアアプリのファイル)に偽装されたZIPファイルが含まれています。受信者がデスクトップでZIPファイルを開くと、通常、以下の手順が実行されます。
- 被害者は、アーカイブ内の Windows ショートカット (LNK) を起動するように誘導されます。
- LNK は PowerShell コマンドをサイレントに実行し、外部ホスト (識別された例としては sorvetenopoate.com) から次の段階のペイロードをダウンロードします。
取得されたペイロードは、永続性を確立し、さらなるコマンドを実行するバッチ スクリプトです。
実行の詳細と永続化メカニズム
インストールされると、バッチスクリプトはWindowsのスタートアップフォルダに自身をコピーし、システム起動後に自動的に実行されます。また、PowerShellを呼び出してコマンドアンドコントロール(C2)サーバーに接続し、後続の指示を取得したり、追加のコンポーネントを取得したりします。これらの動作により、マルウェアは常駐状態を維持し、攻撃者からのリモートコマンドを受け入れることができます。
WhatsAppを伝播エンジンとして
SORVEPOTELの中核機能は、WhatsAppを意識した拡散活動です。感染マシン上でWhatsApp Web(デスクトップ/ウェブクライアント)がアクティブになっていることを検知すると、マルウェアは同じ悪意のあるZIPファイルを以下の宛先に自動的に拡散します。
- 侵害されたアカウントにリンクされているすべての連絡先、および
- アカウントが属するすべてのグループ。
この自動配信により、大量の送信スパムが生成され、WhatsApp の不正使用検出がトリガーされ、アカウントが停止または禁止されるケースが多くあります。
範囲と被害を受けた人々
これまでのところ、この攻撃キャンペーンはブラジルに集中しており、記録された感染者477人のうち457人がブラジルで発生しています。標的となった組織は、主に以下の分野にわたります。
- 政府と公共サービス
- 製造業
- テクノロジー
- 教育
- 工事
注目すべきは、攻撃者は取得したアクセス権を大量のデータ窃盗やランサムウェアの展開に使用していないように見えることです。観察可能な結果は、積極的な拡散とアカウントの不正使用でした。
観測された追加の分布ベクトル
WhatsApp ベースのメッセージが主な拡散経路となっているものの、アナリストらは、攻撃者が同じ悪意のある ZIP 添付ファイルを電子メールでも配布しており、信頼性を高めるために一見正当な送信元アドレスを使用している場合もあるという証拠を発見しました。
このキャンペーンが注目される理由
SORVEPOTELは、攻撃者が主流のコミュニケーションプラットフォームを悪用し、最小限のユーザーインタラクションでリーチを拡大するというトレンドを体現しています。信頼できる連絡先とWhatsApp Webの利便性を武器にすることで、このマルウェアは高度なデータ窃取コンポーネントを必要とせずに、組織間を迅速に拡散します。
終わりに
SORVEPOTELは、ソーシャルプラットフォームがマルウェアにとって魅力的な拡散経路であることを改めて認識させるものです。迅速な検知、ユーザー教育、そしてスクリプト実行の制限やデスクトップ上のメッセージングクライアントの監視といった対策を講じることで、このキャンペーンが悪用する攻撃対象領域を大幅に縮小することができます。
