Ein neues Bedrohungsszenario
Aktuell sind vor allem Nutzer in Brasilien von der WhatsApp-Malware SORVEPOTEL betroffen. Diese Malware verbreitet sich selbst über die beliebte Messaging-App WhatsApp. Die Cyberkriminellen nutzen das Vertrauen der Nutzer in die Plattform. Die Kampagne wird von Trend Micro unter dem Codenamen „SORVEPOTEL“ geführt. Ihr Hauptziel ist die Ausbreitung auf Windows-Systeme.
Der Fokus auf Unternehmen
Die Angriffe sind schnell und wirksam. Dabei stehen Datendiebstahl oder Ransomware nicht im Vordergrund. Die Malware verbreitet sich vor allem über täuschend echte Phishing-Nachrichten mit bösartigen ZIP-Dateianhängen. Forscher wie Jeffrey Francis Bonaobra und Maristel Policarpio haben dies beobachtet. Es ist signifikant, dass diese Nachrichten auf Desktop-PCs geöffnet werden müssen. Die Angreifer scheinen weiterhin an Unternehmen als an Privatpersonen interessiert zu sein.
Der Prozess der Verbreitung
Sobald ein Nutzer den Anhang öffnet, wird die Malware aktiviert. Sie nutzt die Desktop-Version von WhatsApp zur Verbreitung. Ab diesem Moment können die infizierten Konten leicht aufgrund übermäßiger Spam-Aktivitäten gesperrt werden. Bisher gibt es keine Hinweise darauf – dass die Angreifer Daten exfiltrieren oder Dateien zur Erpressung verschlüsseln.
Brasilien im Verborgenen im Fokus
Mit 457 von 477 Fällen konzentriert sich bisher die Mehrheit der Infektionen ausschließlich auf Brasilien. Besonders betroffen sind regierungsnahe Unternehmen der öffentliche Dienst und ebenfalls Firmen aus der Fertigung, dem Bauwesen der Technologie und dem Bildungssektor. Das Vorhandensein einer großen deutschen Community in Brasilien und der Handel mit Deutschland könnten dazu führen, dass diese Bedrohung auch hierzulande Anklang findet. Vor allem Produktionsfirmen und Personaldienstleister könnten in den Fokus geraten.
Technische Aspekte der Malware
Die Malware verwendet einen trickreichen technischen Ablauf. Wenn ein Nutzer einen bösartigen Anhang öffnet, wird zunächst eine Windows-Verknüpfungsdatei (LNK) aktiviert. Diese löst ein PowerShell-Skript aus, welches die Hauptnutzlast von einem externen Server herunterlädt. Die Sensibilisierung für solche Malware-Angriffe ist in vielen Kommunikationsberufen noch ungenügend. Das macht es den Angreifern leicht – ihre Schadsoftware weiter zu verbreiten.
Gefahren durch WhatsApp Web
Die Nutzung von WhatsApp Web kann zwar hilfreich sein – doch sie birgt ähnlich wie Risiken. Die heruntergeladene Malware ist ein Batch-Skript. Es zielt darauf ab – sich dauerhaft auf dem Computer zu installieren. Dazu wird es im Windows-Startordner platziert was eine automatische Ausführung nach einem Neustart ermöglicht.
Automatische Weiterverbreitung der Malware
Im Zentrum der Operation steht ein Mechanismus der WhatsApp als Verbreitungsplattform nutzt. Sollte WhatsApp Web aktiviert sein, versendet die Malware die schadhafte ZIP-Datei automatisch an alle Kontakte und Gruppen des infizierten Kontos. Dadurch erfolgt eine rasante Verbreitung. Trend Micro weist darauf hin, dass diese automatisierte Verbreitung zu einer hohen Anzahl von Spam-Nachrichten führt. Dies resultiert häufig in Kontosperrungen aufgrund von Verstößen gegen die Nutzungsbedingungen.
Ein Blick in die Zukunft
Zurzeit deutet vieles auf einen lokal begrenzten Testlauf der Cyberkriminellen in Brasilien hin. Doch ein Überschwappen nach Europa, insbesondere nach Deutschland ist durchaus denkbar. Es ist ratsam · vorsichtig zu sein und Dienste wie Virustotal zu nutzen · bevor eine Datei aus unbekannten Quellen geöffnet wird. Besonders dann – wenn sie von bekannten Kontakten stammt.
Kommentare