MinhSec
Writer
Một chiến dịch phần mềm độc hại tự lan tỏa, được phát hiện lần đầu trong tháng 9/2025 và đặt tên là SORVEPOTEL, đang lợi dụng WhatsApp làm kênh phát tán chính, tập trung tấn công người dùng Windows đặc biệt là các tổ chức ở Brazil. Thay vì nhắm ngay tới việc đánh cắp dữ liệu hay mã hóa tống tiền, chiến dịch này được thiết kế để lan nhanh bằng cách kết hợp lừa đảo xã hội và thao tác tự động trên phiên WhatsApp Web của nạn nhân.
Chiến dịch bắt đầu bằng một tin nhắn có đính kèm file ZIP giả dạng biên lai, báo cáo hoặc ngân sách (ví dụ: RES-20250930112057.zip, ORCAMENTO114418.zip). Thủ đoạn còn dùng cả email giả mạo với tên file tương tự để tăng tín nhiệm. Người nhận được hướng dẫn mở ZIP trên máy tính để bàn mục tiêu là các phiên WhatsApp Web đang hoạt động.
Sau khi giải nén, kẻ tấn công lợi dụng một shortcut Windows (.LNK) để chạy ngầm một tập lệnh PowerShell. Tập lệnh này tải về và thực thi payload chính từ máy chủ do kẻ tấn công kiểm soát (các miền kiểu đánh máy như sorvetenopotel[.]com được dùng để hòa lẫn lưu lượng độc hại với lưu lượng bình thường). Phần mềm thiết lập độ bền bỉ bằng cách sao chép vào thư mục Khởi động và tải thêm thành phần qua các lệnh PowerShell được mã hoá (Base64), rồi thực thi trực tiếp trong bộ nhớ.
Khi đã chiếm được máy, SORVEPOTEL quét các phiên WhatsApp Web đã xác thực trên trình duyệt. Nếu tìm thấy phiên hoạt động, mã độc tự động gửi cùng file ZIP độc hại này đến toàn bộ danh bạ và nhóm tạo vòng lây nhiễm nhanh và rộng. Hành vi spam tự động còn khiến nhiều tài khoản bị đình chỉ do vi phạm điều khoản dịch vụ của WhatsApp.
Áp dụng chính sách điểm cuối (endpoint) chặt chẽ: chặn thực thi shortcut (.LNK) không rõ nguồn, giới hạn quyền chạy PowerShell và thực thi tập lệnh không được ký.
Vô hiệu hóa tự động tải xuống trong các ứng dụng nhắn tin trên thiết bị công ty; ưu tiên sử dụng phiên bản quản lý/enterprise của ứng dụng nhắn tin nếu có.
Huấn luyện nhận thức an ninh cho nhân viên: không mở file ZIP/tệp lạ từ liên hệ dù tin nhắn trông có vẻ từ người quen, và kiểm tra lại bằng kênh độc lập nếu nghi ngờ.
Giám sát lưu lượng C2 và tên miền kiểu đánh máy trong hệ thống DNS/IDS; áp dụng chính sách chặn các miền bị nghi ngờ và cập nhật signatures của giải pháp bảo mật.
cybersecuritynews.com
Cách tấn công hoạt động
Chiến dịch bắt đầu bằng một tin nhắn có đính kèm file ZIP giả dạng biên lai, báo cáo hoặc ngân sách (ví dụ: RES-20250930112057.zip, ORCAMENTO114418.zip). Thủ đoạn còn dùng cả email giả mạo với tên file tương tự để tăng tín nhiệm. Người nhận được hướng dẫn mở ZIP trên máy tính để bàn mục tiêu là các phiên WhatsApp Web đang hoạt động.
Sau khi giải nén, kẻ tấn công lợi dụng một shortcut Windows (.LNK) để chạy ngầm một tập lệnh PowerShell. Tập lệnh này tải về và thực thi payload chính từ máy chủ do kẻ tấn công kiểm soát (các miền kiểu đánh máy như sorvetenopotel[.]com được dùng để hòa lẫn lưu lượng độc hại với lưu lượng bình thường). Phần mềm thiết lập độ bền bỉ bằng cách sao chép vào thư mục Khởi động và tải thêm thành phần qua các lệnh PowerShell được mã hoá (Base64), rồi thực thi trực tiếp trong bộ nhớ.
Khi đã chiếm được máy, SORVEPOTEL quét các phiên WhatsApp Web đã xác thực trên trình duyệt. Nếu tìm thấy phiên hoạt động, mã độc tự động gửi cùng file ZIP độc hại này đến toàn bộ danh bạ và nhóm tạo vòng lây nhiễm nhanh và rộng. Hành vi spam tự động còn khiến nhiều tài khoản bị đình chỉ do vi phạm điều khoản dịch vụ của WhatsApp.
Khuyến nghị cho doanh nghiệp và người dùng
Áp dụng chính sách điểm cuối (endpoint) chặt chẽ: chặn thực thi shortcut (.LNK) không rõ nguồn, giới hạn quyền chạy PowerShell và thực thi tập lệnh không được ký.
Vô hiệu hóa tự động tải xuống trong các ứng dụng nhắn tin trên thiết bị công ty; ưu tiên sử dụng phiên bản quản lý/enterprise của ứng dụng nhắn tin nếu có.
Huấn luyện nhận thức an ninh cho nhân viên: không mở file ZIP/tệp lạ từ liên hệ dù tin nhắn trông có vẻ từ người quen, và kiểm tra lại bằng kênh độc lập nếu nghi ngờ.
Giám sát lưu lượng C2 và tên miền kiểu đánh máy trong hệ thống DNS/IDS; áp dụng chính sách chặn các miền bị nghi ngờ và cập nhật signatures của giải pháp bảo mật.
Threat Actors Leveraging WhatsApp Messages to Attack Windows Systems With SORVEPOTEL Malware
SORVEPOTEL malware spreads via WhatsApp phishing ZIPs, hijacking web sessions to self-propagate across enterprise networks globally.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview