به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این بدافزار که سوروپوتل (Sorvepotel) نام گرفته، از طریق پیامهای فیشینگ منتشر میشود که حاوی یک فایل زیپ است و در ظاهر بهصورت یک سند قانونی مانند رسید یا فرم بهداشتی به نظر میرسد.
پژوهشگران شرکت امنیت سایبری ترند میکرو (Trend Micro) بیان کردند:
نکته جالب این است که پیام فیشینگ حاوی فایل آلوده از کاربر میخواهد فایل را روی رایانه باز کند، که نشان میدهد مهاجمان احتمالاً بیشتر به هدف قرار دادن شرکتها و سازمانها علاقهمندند تا کاربران عادی. یکی از ویژگیهای کلیدی بدافزار سوروپوتل توانایی آن در شناسایی فعال بودن نسخهی وب واتساپ روی دستگاه آلوده است.
به گفتهی ترند میکرو، هدف اصلی مهاجمان، انتقال بدافزارهای ثانویه است؛ معمولاً برنامههایی که برای جمعآوری اطلاعات بانکی طراحی شدهاند.
فرآیند آلودگی زمانی آغاز میشود که کاربر پیامی در واتساپ از یکی از مخاطبین آلودهی خود، مانند یک دوست یا همکار، دریافت کند.
به محض اجرای فایل، بدافزار نشست واتساپ وب قربانی را ربوده و همان فایل زیپ را بهطور خودکار برای تمام مخاطبین و گروههای او ارسال میکند، که باعث گسترش سریع آلودگی میشود.
پژوهشگران اظهار کردند:
برخلاف کارزارهای باجافزاری یا سرقت داده، سوروپوتل برای سرعت و انتشار گسترده طراحی شده و از اعتماد میان کاربران واتساپ سوءاستفاده میکند. این گسترش خودکار باعث ارسال حجم بالایی از پیامهای اسپم میشود و اغلب منجر به تعلیق یا مسدود شدن حسابهای واتساپ به دلیل نقض شرایط خدمات میگردد.
به گفتهی ترند میکرو، این کارزار عمدتاً در برزیل متمرکز است؛ از میان ۴۷۷ مورد آلودگی ثبتشده، ۴۵۷ مورد مربوط به این کشور بوده است.
بیشتر قربانیان از بخشهای دولتی و خدمات عمومی هستند، اما سازمانهای فعال در حوزههای تولید، آموزش، بانکداری، فناوری و ساختوساز نیز تحت تأثیر قرار گرفتهاند.
علاوه بر سوروپوتل، پژوهشگران دو بدافزار مرتبط دیگر را شناسایی کردهاند؛ یکی Maverick.StageTwo که کاربران بانکهای برزیلی را هدف میگیرد، و دیگری Maverick.Agent که قادر است اطلاعات ورود را سرقت کند و پنجرههای جعلی شبیه وبسایتهای مالی معتبر نمایش دهد تا کاربران را فریب داده و اطلاعات حساس آنها را بهدست آورد.
اگرچه تاکنون شواهدی از سرقت گستردهی داده یا رمزگذاری باجافزاری مشاهده نشده است، اما پژوهشگران خاطرنشان کردند که کارزارهای مشابه در برزیل پیشتر مؤسسات مالی را هدف قرار داده بودند.
این کارزار هنوز به هیچ گروه هکری شناختهشدهای نسبت داده نشده است.
در ماههای اخیر، برزیل شاهد چندین حملهی سایبری پرسر و صدا بوده است.
اوایل همین هفته، هکرها بیش از ۵ میلیون رئال (معادل حدود ۹۳۹ هزار دلار) از حسابهای بانکی شهرداری شهر مونته سیائو در جنوب شرقی کشور سرقت کردند.
همچنین در ماه ژوئیه، پلیس یک کارمند شرکت نرمافزاری را دستگیر کرد که متهم به مشارکت در سرقت بیش از ۱۰۰ میلیون دلار از طریق سامانه پرداخت فوری برزیل موسوم به پیکس (PIX) بود.
