Selon Trend Micro Research, une campagne agressive de malware baptisée SORVEPOTEL exploite WhatsApp comme vecteur principal d’infection et touche surtout des organisations au Brésil.
Le malware se diffuse via des archives ZIP piégées déguisées en documents légitimes envoyées sur WhatsApp (et potentiellement par email). Une fois ouvertes, des fichiers LNK malveillants déclenchent des commandes PowerShell obfusquées (fenêtre cachée et payload Base64) qui téléchargent des scripts depuis une infrastructure d’attaque dédiée. SORVEPOTEL établit une persistance sur Windows et détourne les sessions WhatsApp Web actives pour envoyer automatiquement le ZIP malveillant à tous les contacts et groupes, entraînant une propagation rapide et des bannissements fréquents de comptes.
Impact et ciblage : 457 cas sur 477 détectés proviennent du Brésil 🇧🇷. Les secteurs touchés incluent le gouvernement, les services publics, la manufacture, la technologie, l’éducation et la construction. Les indices disponibles pointent une priorité à la propagation plutôt qu’à l’exfiltration de données ou au chiffrement, bien que des similarités avec d’anciennes campagnes brésiliennes orientées finance justifient une vigilance accrue.
Détails techniques clés :
- Vecteur initial: phishing WhatsApp (et possiblement email) avec ZIP nommés comme “RES-20250930_112057.zip” ou “COMPROVANTE_20251001_094031.zip”.
- Exécution: LNK lançant PowerShell (options -w hidden, -enc Base64), téléchargement de batch/scripts, exécution en mémoire via Net.WebClient et Invoke-Expression (IEX) depuis des serveurs C2.
- Persistance: dossiers Startup Windows.
- Propagation: détection de WhatsApp Web actif et envoi automatique du ZIP à tous les contacts/groupes.
- Évasion: typosquatting (domaines rappelant l’expression portugaise ‘sorvete no pote’), structures de commandes obfusquées avec boucles for multiples, payloads Base64.
Recommandations mentionnées par la source: désactiver l’auto-téléchargement sur WhatsApp, restreindre les transferts de fichiers via des applications personnelles et renforcer la sensibilisation des utilisateurs.
IOCs et TTPs 🧩
- Domaines C2/attacker:
- sorvetenopoate[.]com
- sorvetenoopote[.]com
- etenopote[.]com
- expahnsiveuser[.]com
- Artefacts/fichiers: archives ZIP nommées de type “RES-YYYYMMDD_HHMMSS.zip” et “COMPROVANTE_YYYYMMDD_HHMMSS.zip”; fichiers .lnk malveillants.
- TTPs: phishing via WhatsApp, LNK -> PowerShell (-w hidden, -enc Base64), WebClient + IEX, exécution en mémoire, persistance Startup, hijack de session WhatsApp Web, typosquatting, obfuscation par boucles for et encodage Base64.
Il s’agit d’une analyse de menace publiée par Trend Micro visant à documenter une campagne de malware auto-propagatif, détailler ses techniques et partager des IOCs/TTPs.
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html