近来安全研究人员披露了一种名为SORVEPOTEL的自传播恶意软件,攻击者利用WhatsApp平台实现快速扩散,目标主要集中在巴西的组织与个人用户。该威胁并非以立即窃取大量数据或加密勒索为主,而是侧重于通过社交信任与自动化工具迅速占领更多受害者设备,从而铺垫进一步的金融欺诈与凭证窃取。了解其技术细节、传播手段与防御措施,对于企业安全团队和普通用户都至关重要。SORVEPOTEL的传播链始于被入侵联系人发送的钓鱼消息,攻击者利用来自熟人或机构的既有信任关系,将带有恶意压缩包的消息传递给目标。压缩包通常伪装成收据、健康应用文件或其他看似无害的文档,诱导受害者在桌面环境中打开。攻击成功的关键在于诱导用户在Windows桌面上运行包含Windows快捷方式(LNK)的文件,快捷方式会悄无声息地触发PowerShell脚本,从远程服务器下载并执行后续有效载荷。
后续有效载荷最初表现为批处理脚本,用于在受感染主机上建立持久性,例如复制自身到Windows启动文件夹并设置开机自启。同时,批处理脚本会执行PowerShell命令以联系命令控制服务器(C2),下载用于更多功能的.NET DLL或PowerShell脚本,这些组件会在内存中执行以躲避传统文件扫描。某些变种通过注入进程(例如powershell_ise.exe)来加载shellcode,并对系统进行更深入的监视与控制。该活动的一大特点是专门针对WhatsApp Web会话的传播机制。如果恶意程序检测到本机上有已登录的WhatsApp Web,会利用自动化工具控制浏览器会话,从联系人和群组中批量发送带有同类恶意压缩包的消息,实现链式感染。这种利用浏览器自动化(例如Selenium)或脚本化会话的方式,使得传播速度极快,且由于消息来自受害者已有的联系人网络,容易绕过部分用户的信任判断。
大量自动化发送还会导致被感染账户因滥发垃圾信息而被WhatsApp封禁或限制。在初步传播之上,研究人员还发现了更具针对性的后阶段模块。名为Maverick.StageTwo和Maverick.Agent的组件被用于金融相关的监控与欺诈活动。该组件会检查浏览器活动的目标URL,比较一份针对拉美特别是巴西金融机构的黑名单,当用户访问受关注的银行或支付平台时,恶意程序会启动更复杂的窃取机制,包括屏幕截图、键盘记录、制作假的登录覆盖界面以劫夺凭证及双因素认证令牌,甚至通过注入与模拟交互来阻断用户的正常操作。攻击者还能下发命令来收集系统信息、列举已安装软件、创建欺骗性的安全提示或钓鱼页面,从而实施更深一步的金融欺诈。针对分析与检测,SORVEPOTEL的模块包含多种反分析与反取证特征。
恶意DLL会在执行前扫描运行进程列表,寻找诸如调试器、逆向工程工具或流量分析工具的进程名称,以判断是否处于分析环境。这类检测会阻止恶意组件在受控沙箱或反病毒研究环境中进一步展开行为,从而延缓或规避安全厂商的检测与溯源工作。该威胁的行业影响主要集中在政府、公共服务、制造业、科技、教育和建筑等领域,但金融机构与支付平台则是攻击者追逐的高价值目标。由于恶意程序会监控并试图盗取银行凭证,个人与企业在面临此类威胁时可能遭受资金损失、账户劫持以及品牌信任损害。此外,自动化传播带来的账户封禁也会影响组织使用WhatsApp作为客户沟通渠道的能力。为降低被此类传播性威胁侵害的风险,应从用户教育、终端防护、网络策略与应急响应四个维度采取综合防御措施。
用户层面必须提高对可疑压缩包与快捷方式文件的警惕,尤其是通过即时通讯工具收到的压缩附件要与发件人核实来源,避免在桌面环境中直接双击LNK文件或运行可疑脚本。组织应强化对员工的钓鱼识别培训,并明确禁止将个人消息应用作为工作凭证或执行敏感操作的渠道。在终端防护方面,建议部署具备行为检测与内存执行分析能力的下一代防病毒与端点检测与响应(EDR)产品,这类产品能识别利用PowerShell内存执行、进程注入与DLL加载的异常行为。限制PowerShell命令执行策略与启用脚本签名验证可以显著提高对脚本驱动型攻击的防御力度。此外,应用白名单策略与最小权限原则能防止未经授权的程序写入启动文件夹或执行持久化操作。网络与浏览器层面的保护同样重要。
组织可以通过阻断已知恶意域名与IP、在安全网关处进行文件类型与内容扫描来拦截下载链路中的恶意文件。考虑对WhatsApp Web等外部云服务的使用实施策略限制,例如在非必要时禁用WhatsApp Web或通过企业级浏览器隔离技术将外部会话与核心工作环境隔离。对自动化工具的调用与Selenium等驱动的异常流量进行检测,也能帮助发现滥用浏览器会话的行为。为了保护金融账户,应确保关键线上服务启用多重验证措施,优先采用基于硬件或应用的多因素认证,而非仅依赖短信或易被钓取的一次性密码。银行与金融机构要部署会话保护、风险评估与可疑交易检测机制,以便在发现账户行为异常时立刻触发防御或人工介入。个人用户在管理密码时应使用高强度密码并配合密码管理器,防止凭证在钓鱼页面中被捕获后被广泛滥用。
在监测与事件响应方面,组织应将与WhatsApp相关的异常活动纳入安全信息和事件管理(SIEM)系统的监控范畴,关注异常大量外发消息、启动文件夹有未经授权的新文件、以及PowerShell网络连接到可疑域名等告警。发生疑似感染事件时,应立即断开受影响设备与企业网络的连接,保存相关内存与日志证据以便进行事故取证,并在确定传播范围后执行清理与密码重置等补救措施。对于在WhatsApp上传播的感染链,及时通知可能受到影响的联系人与群组,避免进一步扩散,并与WhatsApp或相关平台合作以恢复或解除被封禁的企业账号。安全厂商与研究机构也在不断追踪SORVEPOTEL及其演变,分享的标志性指标包括用于托管或分发恶意载荷的域名、下载脚本特征、注入目标进程名称以及与金融机构名称匹配的URL列表。企业安全团队应关注来自权威威胁情报来源的IOC(攻击指标)更新,并将这些IOC纳入防火墙、代理与端点规则中进行拦截。除了技术对策外,行业与监管层面也应加强跨机构的信息共享与联防联控。
鉴于此类攻击往往以社交工程为突破口,金融机构、通信平台与执法部门之间的迅速协作可以在攻击扩散初期就有效遏制其影响范围。平台提供商应优化滥用检测算法,快速识别并限制通过已登录会话进行的异常大规模发送行为,同时为受害账号提供快速恢复和通知机制,帮助减少欺诈损失与公众信任损害。面对日益复杂的自传播恶意软件,个人与企业都必须将防御重心前移,建立以预防为主、检测为辅、响应为后的防护体系。简单的行为如谨慎打开附件、不在公共或共享设备上保持持久登录、为关键账户启用强认证,都能有效降低被此类攻击利用的概率。企业层面应通过分层防护策略、持续的员工安全培训和快速的应急响应流程,将社交通讯平台带来的业务便利与潜在安全风险平衡起来。总之,SORVEPOTEL展示了攻击者如何结合社会工程、脚本化执行与浏览器会话滥用来实现快速传播和高价值目标的持续渗透。
防御这类威胁需要跨层次、多要素的综合措施,并且要求安全团队保持对最新威胁情报的敏感与响应速度。只有在技术控制、用户意识与行业协作三方面共同发力,才能有效遏制以WhatsApp等主流即时通信平台为载体的新型自传播恶意软件的扩散与危害。 。
