Un nuovo malware, chiamato SORVEPOTEL, sta sfruttando WhatsApp Web per propagarsi rapidamente tra i contatti degli utenti. Si diffonde tramite messaggi apparentemente legittimi che invitano ad aprire un file ZIP infetto, con lo scopo di replicarsi e colpire il maggior numero possibile di sistemi, soprattutto su computer Windows. Il fenomeno interessa principalmente il Brasile, ma rappresenta un pericolo potenziale su scala internazionale. Evita di aprire allegati ZIP ricevuti tramite WhatsApp, soprattutto su desktop. Aggiorna regolarmente sia WhatsApp sia il tuo sistema operativo e utilizza solo versioni ufficiali. Attiva sempre l’autenticazione a due fattori e diffida dei file sconosciuti inviati anche da contatti fidati.
Il Nuovo Attacco: SORVEPOTEL e la Propagazione su WhatsApp
Negli ultimi giorni, i maggiori analisti di sicurezza informatica hanno identificato una campagna aggressiva che sfrutta la piattaforma di messaggistica WhatsApp, in particolare la versione web, per diffondere un malware ad alta velocità. Il malware, denominato SORVEPOTEL, prende di mira i computer con sistema operativo Windows. L’attacco è stato principalmente rilevato in Brasile ma si teme la sua diffusione anche in altri Paesi.
La strategia sfrutta la fiducia tra contatti: la vittima riceve un messaggio su WhatsApp contenente un file ZIP apparentemente innocuo, che può essere spacciato per una ricevuta, un documento aziendale o un file medico. Il mittente è spesso un contatto già compromesso, aumentando così la probabilità che il destinatario abbia fiducia e apra l’allegato.
All’interno del file ZIP si trova un collegamento di tipo LNK, che, se aperto su un sistema Windows, esegue uno script PowerShell. Questo script si connette a un server esterno e installa il malware sul computer della vittima.
Il Meccanismo di Diffusione
La caratteristica che rende SORVEPOTEL particolarmente pericoloso è la sua capacità di auto-propagazione. Una volta attivato, il malware analizza il sistema infetto alla ricerca di una sessione attiva di WhatsApp Web. Se la trova, sfrutta l’account compromesso per inviare automaticamente lo stesso file ZIP a tutti i contatti e gruppi collegati, replicando così l’attacco in modo virale e senza intervento dell’utente.
Questo comportamento consente al malware di diffondersi in modo esponenziale e con grande rapidità, sfruttando la naturale propensione degli utenti a fidarsi dei propri contatti e ad aprire allegati che sembrano legittimi.
Obiettivi del Malware
SORVEPOTEL si distingue da molti altri malware perché non punta a rubare informazioni o criptare file per un riscatto. L’obiettivo principale è la diffusione capillare: gli analisti ritengono che gli autori siano interessati più all’impatto e all’infezione massiva che al guadagno diretto tramite furto o estorsione.
Il malware, almeno nelle versioni finora individuate, non esfiltra dati e non attiva ransomware. Tuttavia, la sua presenza rappresenta una pesante minaccia per la sicurezza, soprattutto perché sfrutta piattaforme di messaggistica ad altissimo traffico, come WhatsApp, per impattare un vasto numero di utenti in tempi brevissimi.
Settori Colpiti e Target Preferenziale
Il fenomeno risulta più diffuso in Brasile, con 457 infezioni su 477 casi segnalati, stando all’ultima rilevazione dei ricercatori. Tra i settori coinvolti figurano amministrazioni pubbliche, istituzioni educative, aziende tecnologiche, industrie manifatturiere, costruzioni e servizi pubblici.
Il fatto che l’attacco sia veicolato principalmente da allegati destinati a desktop induce a pensare che il vero obiettivo siano più le aziende e gli enti pubblici che i singoli consumatori. L’infezione di un account aziendale via WhatsApp può infatti innescare una catena di attacchi all’interno di una rete organizzativa, con ricadute operative e reputazionali.
Come Funziona la Truffa
- Invio del messaggio: L’attacco parte da un account WhatsApp già compromesso, che invia un messaggio contenente un file ZIP a tutti i propri contatti e gruppi.
- Inganno e apertura del file: Il destinatario, ignaro del rischio, apre il file ZIP, pensando si tratti di un documento importante o familiare.
- Esecuzione del malware: Il file ZIP contiene un collegamento (LNK) per Windows che, se avviato, esegue uno script PowerShell.
- Propagazione automatica: Il malware utilizza la sessione WhatsApp Web dell’utente infetto per inoltrare lo stesso file ZIP a tutti i contatti, moltiplicando le infezioni.
- Blocco dell’account: A causa dell’alto volume di messaggi spam inviati, WhatsApp può bloccare temporaneamente o definitivamente l’account infetto per violazione delle regole contro lo spam.
Perché SORVEPOTEL è un Caso Unico
Diversamente da molti malware che mirano al furto di credenziali bancarie o alla richiesta di riscatto tramite ransomware, SORVEPOTEL si concentra esclusivamente sulla propagazione automatica. Questo approccio può essere utilizzato dai cybercriminali per testare la robustezza delle reti aziendali, diffondere worm che fungano da apripista per minacce future, o semplicemente per causare danni e disservizi.
Un altro aspetto critico è l’automazione totale del processo di infezione e diffusione, che riduce al minimo il coinvolgimento umano e consente ai criminali informatici di colpire rapidamente un vasto bacino di utenza.
Vulnerabilità Note e Rischi Connessi
Il successo di SORVEPOTEL si basa anche sulla presenza di vulnerabilità e cattive pratiche d’uso su WhatsApp Web e nei sistemi Windows. Sfruttando i file LNK e l’esecuzione automatica di script PowerShell, i malware writer approfittano di configurazioni non sicure. In passato, WhatsApp aveva già mostrato lacune nella gestione di alcune estensioni di file e nella prevenzione dell’apertura di file dannosi tramite la piattaforma desktop.
Inoltre, anche la presenza di altre vulnerabilità (ad esempio, la non corretta gestione delle whitelist/blacklist dei tipi di file eseguibili) può facilitare una rapida circolazione di contenuti malevoli.
Come Difendersi: Azioni immediate
Ecco alcune azioni facilmente implementabili da chiunque:
- Non aprire mai file ZIP o allegati sospetti ricevuti tramite WhatsApp, anche se provengono da contatti conosciuti.
- Aggiorna regolarmente WhatsApp e il sistema operativo: molte patch di sicurezza vengono rilasciate proprio per correggere vulnerabilità sfruttate da malware come SORVEPOTEL.
- Utilizza la versione ufficiale di WhatsApp e diffida di client non ufficiali.
- Abilita l’autenticazione a due fattori (2FA) su WhatsApp per aumentare la sicurezza del tuo account.
- Presta particolare attenzione a richieste insolite: un messaggio inatteso che contiene un file ZIP dovrebbe suscitare immediatamente sospetto.
Cosa Fare se Sei Stato Infettato
- Scollega subito il computer da Internet per evitare un’ulteriore propagazione del malware.
- Disinstalla WhatsApp Desktop e cancella la sessione WhatsApp Web da tutti i dispositivi, agendo dal telefono.
- Esegui una scansione completa del sistema con un antivirus aggiornato e segui le istruzioni per rimuovere eventuali minacce rilevate.
- Avvisa i tuoi contatti di un eventuale rischio di contagio, soprattutto se potrebbero aver ricevuto messaggi o allegati sospetti dal tuo account.
Strategie di Protezione Approfondite
Per aziende e utenti esperti, queste azioni sono raccomandate:
- Implementare policy di sicurezza che vietino l’apertura di allegati ZIP non verificati attraverso software di posta o piattaforme di messaggistica interna.
- Monitorare e bloccare il traffico PowerShell sospetto sulla rete aziendale.
- Isolare le postazioni di lavoro che accedono a WhatsApp Web, utilizzando ambienti virtualizzati, per ridurre al minimo i danni potenziali.
- Eseguire backup frequenti dei dati critici e delle configurazioni di sistema, in modo da poter ripristinare rapidamente i sistemi in caso di infezione.
- Sensibilizzare regolarmente i dipendenti sul rischio di malware veicolato tramite canali apparentemente affidabili e aggiornare la formazione sui phishing.
In conclusione, la propagazione di malware come SORVEPOTEL dimostra quanto sia importante adottare un approccio attivo alla sicurezza, sia per i privati che per le aziende. La chiave è diffidare sempre di allegati e link sconosciuti, anche se provengono da contatti conosciuti, e adottare senza esitazione gli strumenti di sicurezza disponibili.
