Il malware SORVEPOTEL rappresenta una nuova minaccia informatica che sta colpendo principalmente gli utenti brasiliani attraverso la popolare applicazione di messaggistica WhatsApp. Questa campagna, individuata dagli esperti di sicurezza, sfrutta la fiducia nelle conversazioni tra contatti per diffondere rapidamente il proprio codice dannoso. Diversamente da altri malware focalizzati sul furto di dati o sul ransomware, SORVEPOTEL è progettato per una propagazione veloce su sistemi Windows, puntando soprattutto a raggiungere il maggior numero di dispositivi possibili.

L’attacco e la modalità di diffusione

L’attacco inizia con un messaggio di phishing inviato da un contatto già compromesso tramite WhatsApp. Il messaggio contiene un archivio ZIP apparentemente innocuo, che si presenta come una ricevuta o un file legato a una app per la salute. L’obiettivo è indurre la vittima ad aprire il file sul proprio computer, preferibilmente in ambito aziendale, dove la presenza di dati e contatti può amplificare la diffusione.

Una volta aperto l’allegato ZIP, l’utente viene invitato ad avviare un file di collegamento Windows (LNK), che a sua volta esegue uno script PowerShell in grado di scaricare il payload principale da un server remoto. Questo script batch si installa nella cartella di avvio di Windows, garantendo la persistenza ad ogni riavvio del sistema e permettendo al malware di attivarsi automaticamente.

Auto-propagazione e rischi principali

SORVEPOTEL si distingue per la sua capacità di auto-propagarsi sfruttando la versione web desktop di WhatsApp. Dopo l’infezione, il malware invia automaticamente lo stesso file ZIP maligno a tutti i contatti e gruppi WhatsApp della vittima, generando un’ondata di spam che spesso porta al ban dell’account per violazione dei termini di servizio della piattaforma. Attualmente, non vi sono prove che la minaccia venga utilizzata per sottrarre dati personali o cifrare file, ma la velocità e la facilità con cui si diffonde rappresentano un rischio significativo per aziende e utenti privati.

Diffusione geografica e settori coinvolti

La maggior parte delle infezioni registrate si concentra in Brasile, coinvolgendo settori come enti governativi, pubblici, manifatturieri, tecnologici, educativi e delle costruzioni. È stato inoltre riscontrato che i cybercriminali dietro SORVEPOTEL utilizzano anche email di phishing per inviare il file ZIP, aumentando ulteriormente il potenziale di diffusione.

Lezioni apprese e importanza della consapevolezza

Questo caso dimostra come le piattaforme di comunicazione popolari possano essere sfruttate per campagne malware su larga scala, con l’obiettivo di ottenere la massima propagazione con il minimo sforzo da parte degli attaccanti. La consapevolezza e la formazione degli utenti restano fondamentali per riconoscere e bloccare tempestivamente minacce di questo tipo.