کاربران برزیلی هدف یک بدافزار خودتکثیر جدید قرار گرفتهاند که از طریق پیامرسان محبوب WhatsApp منتشر میشود.
این کمپین که Trend Micro آن را SORVEPOTEL نامیده برای سرعت و انتشار طراحی شده است و از اعتماد کاربران به پلتفرم پیامرسان جهت گسترش دسترسی در سراسر سیستمهای ویندوزی استفاده میکند. این بدافزار از طریق پیامهای فیشینگ متقاعدکننده حاوی پیوستهای ZIP مخرب روی سیستمهای ویندوز منتشر میشود. نکته جالب این است که پیام فیشینگ حاوی فایل مخرب کاربران را ملزم به باز کردن آن روی دسکتاپ میکند، که نشان میدهد عوامل تهدید ممکن است بیشتر به هدف قرار دادن شرکتها علاقهمند باشند. مکانیسم انتشار متمرکز بر واتساپ، محور اصلی عملیات SORVEPOTEL است. اگر بدافزار تشخیص دهد که واتساپ وب در سیستم آلوده فعال است، به توزیع فایل ZIP مخرب به تمام مخاطبان و گروههای مرتبط با حساب کاربری قربانی اقدام و امکان تکثیر سریع را فراهم میکند.
شواهدی نیز وجود دارد که نشان میدهد اپراتورهای این کمپین گاهی از ایمیلها برای توزیع فایلهای ZIP استفاده و آنها را از آدرسهای ایمیل ظاهراً معتبر ارسال میکنند. اگر گیرنده فریب بخورد و پیوست را باز کند، به باز کردن فایل LNK. ترغیب میشود که پس از اجرا، به صورت خاموش اسکریپت پاورشل را فراخوانی میکند تا پیلود داده اصلی را از سرور خارجی دریافت نماید. پیلود دانلود شده، اسکریپت batch است که برای ایجاد پایداری درهاست با کپی کردن خود در فایل Startup ویندوز طراحی شد تا پس از راهاندازی سیستم به صورت خودکار اجرا شود. این اسکریپت همچنین پاورشلی را اجرا میکند که به سرور C2 متصل میشود تا دستورالعملهای بیشتر یا مؤلفههای مخرب اضافی را دریافت کند.
https://thehackernews.com/2025/10/researchers-warn-of-self-spreading.html
