SORVEPOTEL, c’est le nom d’un logiciel malveillant qui présente la particularité de se propager par WhatsApp, de façon automatique, à tous les contacts de la victime. Qui est impacté ? Quels sont les risques ? Voici ce que l’on sait !
SORVEPOTEL cible WhatsApp par l’intermédiaire de Windows
Le malware SORVEPOTEL, identifié et analysé par les chercheurs de Trend Micro, cherche à se propager rapidement d’un appareil à un autre, en utilisant WhatsApp, la messagerie la plus utilisée au monde. Tout commence par un message de phishing, envoyé par un contact lui-même déjà infecté, afin d’associer une certaine crédibilité au message. Ce dernier contient une archive ZIP malveillante présentée sous la forme d’un document.
Ce qui est étonnant avec cette campagne, c’est que le message incite l’utilisateur à télécharger le ZIP sur PC et l’ouvrir, ciblant ainsi spécifiquement les machines Windows. L’ouverture de l’archive révèle un fichier de raccourci (.LNK) qui, une fois exécuté, déclenche un script PowerShell. Ce script se connecte à un serveur externe pour télécharger le code malveillant principal du malware surnommé SORVEPOTEL.
Une fois installé, le malware SORVEPOTEL établit une persistance sur le système en se copiant dans le dossier de démarrage de Windows. Mais, il ne s’arrête pas là : il dispose d’un mécanisme de propagation. S’il détecte que WhatsApp Web est actif sur l’ordinateur de la victime, il entre en action. Le malware automatise alors l’envoi du même fichier ZIP malveillant à l’ensemble des contacts et groupes de l’utilisateur.
Cet envoi massif de messages peut même mener l’utilisateur à une suspension de son compte, comme l’expliquent les chercheurs. “Cette diffusion automatisée entraîne un volume élevé de messages de spam et conduit fréquemment à la suspension ou à l’interdiction de comptes en raison d’une violation des conditions d’utilisation de WhatsApp. ”, peut-on lire dans le rapport.
Sur la machine infectée, le logiciel malveillant est capable de collecter des informations. Il peut aussi recevoir des ordres de la part des attaquants, via le serveur C2 (Commande et contrôle). Par exemple, il peut prendre des copies d’écran ou enregistrer la saisie au clavier effectuée par l’utilisateur (keylogger).
Pour autant, les intentions des pirates ne sont pas claires : “Après l’infection initiale, ce logiciel malveillant continue de fonctionner principalement comme une menace qui se propage d’elle-même, les données actuelles suggérant que son principal objectif est la diffusion à grande échelle plutôt que la compromission plus profonde du système.”
Où se situent les victimes ?
La majorité des cas recensés, soit 457 sur un total de 477 cas, sont des utilisateurs situés au Brésil. De nombreux secteurs sont touchés d’après Trend Micro : le gouvernement, la fonction publique, l’industrie, la technologie, l’éducation et le BTP. Pour autant, cette menace pourrait rapidement s’étendre à d’autres pays, car si une victime est située dans un autre pays, le processus de propagation peut alors débuter.
“L’enquête de Trend montre que cette campagne s’est concentrée sur la région de l’Amérique latine.”, précise Trend Micro.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.