Специалисты зафиксировали новую вредоносную кампанию под названием SORVEPOTEL, нацеленную на пользователей мессенджера WhatsApp*, сообщают в Trend Micro. Вирус необычен тем, что не занимается кражей данных и не шифрует файлы — его цель — максимально быстрое распространение.
Атака опирается на доверие к самому WhatsApp: рассылка стартует с уже скомпрометированных аккаунтов, поэтому фишинговые сообщения выглядят правдоподобно. Жертве приходит ZIP‑архив, замаскированный под чек или медицинский документ; при открытии архива запускается LNK‑файл (ярлык Windows), который в фоне выполняет PowerShell‑скрипт. Скрипт скачивает основной компонент с внешнего сервера (например, sorvetenopoate[.]com), прописывает его в автозагрузку и после перезагрузки активирует связь с управляющим сервером для получения команд.
Ключевой механизм распространения — десктопная (веб‑) версия WhatsApp: на заражённом компьютере зловред автоматически рассылает заражённый ZIP всем контактам и в группах владельца аккаунта. В результате профиль быстро превращается в источник спама и часто блокируется сервисом. По данным Trend Micro, зафиксировано 477 случаев заражения, почти все — в Бразилии; пострадавшие представлены в госсекторе, промышленности, IT, образовании и строительстве.
То, что атакующие нацелились на десктопные версии, указывает на попытки поразить корпоративные сети, где сотрудники используют веб‑версию мессенджера для работы. Эксперты предупреждают, что кампания SORVEPOTEL демонстрирует, как злоумышленники быстро адаптируются к привычным каналам общения: популярные платформы становятся эффективным инструментом массового распространения вредоносного ПО при минимальном участии пользователя.
*Принадлежит Meta, признанной экстремистской и запрещённой в России
