Un nuovo malware, chiamato SORVEPOTEL, sta facendo tremare il Brasile: sfruttando la fiducia degli utenti nel popolare servizio di messaggistica WhatsApp, il malware si propaga rapidamente tra computer Windows, colpendo soprattutto aziende, enti pubblici, istituzioni e settori come tecnologia, istruzione, manifatturiero e costruzioni. L’infezione avviene principalmente via WhatsApp Web: gli utenti ricevono messaggi phishing che invitano a scaricare e aprire un file ZIP sul computer; una volta aperto, il malware si installa, ruba informazioni riservate (soprattutto legate a banche e criptovalute) e, soprattutto, sfrutta le sessioni attive di WhatsApp per diffondersi automaticamente a tutti i contatti e gruppi dell’utente compromesso, generando spam e provocando spesso la sospensione dell’account per violazione delle regole del servizio.
Cosa fare subito:
- Non aprire mai allegati ZIP sospetti ricevuti via WhatsApp, soprattutto se arrivano inaspettati.
- Presta attenzione ai messaggi che sembrano urgenti e che ti chiedono di agire da PC.
- Fai regolarmente backup dei tuoi dati e aggiorna sempre i sistemi anti-malware.
- Controlla spesso i tuoi account social e di messaggistica per attività anomale.
- Informa subito colleghi e collaboratori, soprattutto se lavori in aziende a rischio.
Origine e diffusione del malware SORVEPOTEL
La campagna SORVEPOTEL è stata identificata dai ricercatori di Trend Micro come particolarmente aggressiva e mirata: la stragrande maggioranza delle infezioni (457 su 477 casi accertati) ha colpito il Brasile, concentrandosi su realtà aziendali e istituzionali. Gli attaccanti sembrano preferire bersagli “professionali” piuttosto che consumatori privati, probabilmente per massimizzare il ritorno economico e l’impatto della diffusione virale. La scelta di WhatsApp come vettore d’infezione è strategica: tutti hanno fiducia nelle comunicazioni personali su questa piattaforma, rendendo più facile ingannare i destinatari. Il metodo di contagio richiede che l’utente apra il file ZIP su un PC (non su smartphone), suggerendo un targeting mirato alle aziende, dove spesso WhatsApp Web è utilizzato per lavoro.
Come avviene l’infezione
Il punto d’ingresso è sempre un messaggio phishing su WhatsApp, che invita a scaricare e aprire un file ZIP. Una volta eseguito, il malware elimina archiviazione e persistenza sul sistema, quindi sfrutta PowerShell per scaricare uno script dannoso direttamente in memoria. Questo script, senza lasciare tracce sul disco, carica una DLL .NET che si collega a server di comando e controllo (C&C) e scarica ulteriori payload. Prima di attivarsi, la DLL cerca strumenti di analisi o debug e, se rilevati, si autodistrugge per evitare l’analisi.
Il funzionamento del payload
Il vero obiettivo di SORVEPOTEL non è il ricatto (come nei ransomware), ma la rapida propagazione e il furto di informazioni sensibili, soprattutto dati bancari e relativi a criptovalute, con un focus sul mercato brasiliano. Il malware è, infatti, classificato come infostealer: una volta attivo, monitora l’attività dell’utente, ruba credenziali, dati di accesso e altre informazioni riservate che transitano dal PC infetto. Contemporaneamente, se rileva una sessione attiva di WhatsApp Web, il malware comincia a inviare automaticamente il file ZIP dannoso a tutti i contatti e gruppi dell’utente, rendendo la diffusione rapidissima e capillare. Questo comportamento, oltre a moltiplicare il numero di vittime, causa anche la sospensione dell’account WhatsApp per eccessiva attività di spam.
Implicazioni per la sicurezza aziendale
La portata di questa campagna va ben oltre il singolo utente: colpire aziende ed enti pubblici significa minare la sicurezza di intere organizzazioni, con potenziali danni economici, di immagine e persino legali. I settori più colpiti (tecnologia, istruzione, costruzioni, manifatturiero e istituzioni) sono quelli in cui la comunicazione rapida via WhatsApp è spesso essenziale per il lavoro quotidiano, rendendo i dipendenti più suscettibili a truffe di questo tipo. Inoltre, la diffusione rapida del malware tra gruppi aziendali può compromettere reti interne e dati sensibili, esponendo le organizzazioni a rischi di frode, violazioni di privacy e perdita di informazioni strategiche.
Perché WhatsApp è un bersaglio privilegiato?
WhatsApp, con oltre due miliardi di utenti nel mondo, è ormai uno strumento di lavoro per milioni di persone, soprattutto nei paesi emergenti come il Brasile. La sua facilità d’uso, la cifratura end-to-end e la diffusione capillare lo rendono un bersaglio ideale per chi vuole diffondere malware rapidamente e in modo discreto. I criminali sanno che le aziende investono molto nella sicurezza di email e web, ma spesso sottovalutano i rischi delle app di messaggistica, soprattutto quando queste sono usate su dispositivi personali (BYOD) in ambiente lavorativo. La falsa urgenza del messaggio (“Devi aprire questo file subito sul tuo computer!”) bypassa la diffidenza naturale dell’utente e supera i primi livelli di protezione: il vero punto debole, in questo caso, è la consapevolezza e la formazione delle persone.
Cosa dicono gli esperti di sicurezza
Trend Micro lancia un appello urgente: è necessario aumentare la consapevolezza, adottare strategie di difesa moderne e monitorare attivamente i canali di comunicazione più utilizzati, WhatsApp compreso. Le aziende dovrebbero valutare se sia davvero indispensabile l’uso di WhatsApp per il lavoro e, in caso affermativo, adottare politiche BYOD chiare e rigorose, limitando l’accesso solo ai dispositivi autorizzati e controllati. Gli esperti sottolineano che i criminali stanno spostando l’attenzione dai vettori tradizionali (email, web) verso le app di messaggistica, proprio perché trovano meno resistenza e maggiore efficacia nell’ingannare le vittime.
Cosa fare per proteggersi
Azioni di prevenzione e risposta consigliate dagli esperti:
- Formazione continua: Organizza corsi di sicurezza informatica per tutti i dipendenti, con focus su phishing e rischi delle app di messaggistica.
- Politiche BYOD chiare: Definisci regole precise per l’uso di dispositivi personali in azienda e limita l’accesso a dati sensibili solo da dispositivi controllati.
- Filtra gli allegati: Utilizza soluzioni di sicurezza avanzate che bloccano l’apertura di file sospetti, soprattutto se arrivano da fonti non sicure.
- Monitora le attività sospette: Implementa sistemi di monitoraggio che rilevano anomalie nel traffico di rete e nelle comunicazioni interne.
- Aggiorna regolarmente software e sistemi: Mantieni tutti i dispositivi aggiornati con le ultime patch di sicurezza.
- Fai backup frequenti: Conserva copie sicure dei dati critici, possibilmente offline, per poterli ripristinare in caso di incidente.
- Segnala subito gli incidenti: In caso di sospetta infezione, isola immediatamente il dispositivo dalla rete e contatta il reparto IT o un esperto di sicurezza.
- Diffondi l’allerta: Informa colleghi, partner e clienti dei rischi legati a questo tipo di attacchi, sensibilizzando tutta la comunità.
Conclusioni e prospettive future
SORVEPOTEL rappresenta una nuova frontiera del cybercrime: un malware progettato per la velocità di diffusione più che per il profitto immediato, ma comunque in grado di causare danni ingenti a aziende e istituzioni. La sua capacità di sfruttare la fiducia nelle comunicazioni personali, la tecnica di propagazione automatica e il targeting settoriale lo rendono un modello potenzialmente replicabile in altri paesi e con altre app di messaggistica. La lezione principale è chiara: la sicurezza informatica non può più limitarsi a email e web, ma deve includere anche i canali di comunicazione più usati nella vita quotidiana e lavorativa. Investire in formazione, controllo degli accessi e tecnologie di protezione avanzate è oggi più che mai una priorità per tutte le organizzazioni, grandi e piccole.
Azioni approfondite da intraprendere:
- Implementa soluzioni di sicurezza endpoint avanzate che monitorano anche l’attività delle app di messaggistica installate sui dispositivi aziendali.
- Introduci politiche di “zero trust” per l’accesso a dati sensibili, verificando sempre l’identità dell’utente e del dispositivo.
- Collabora con provider di servizi di messaggistica per ottenere strumenti di monitoraggio e protezione dedicati agli ambienti aziendali.
- Partecipa a community e forum di sicurezza per rimanere aggiornato sulle ultime minacce e condividere best practice con altre organizzazioni.
- Prepara un piano di risposta agli incidenti che includa anche scenari di attacco tramite app di messaggistica, con procedure chiare e testate.
- Promuovi una cultura della sicurezza in cui ogni dipendente si senta responsabile della protezione dei dati aziendali e personale.
La minaccia SORVEPOTEL è reale, attuale e in evoluzione. Solo una risposta coordinata, consapevole e proattiva può mitigare i rischi e proteggere persone, aziende e istituzioni dai danni del cybercrime moderno.
Fonte: https://thehackernews.com/2025/10/researchers-warn-of-self-spreading.htm
