Một chiến dịch mã độc SORVEPOTEL đang tích cực lây lan, nhắm mục tiêu vào các hệ thống Windows thông qua tin nhắn WhatsApp. Hoạt động này có tâm điểm tại Brazil và đã được ghi nhận gây ra nhiều ca nhiễm tại đây. Thay vì tập trung vào đánh cắp dữ liệu hoặc mã hóa tống tiền, mục tiêu chính của mã độc SORVEPOTEL là tự lan truyền nhanh chóng, tận dụng sự tin cậy trong xã hội và các cơ chế tự động hóa để tiếp cận các nạn nhân mới.

Dữ liệu đo đạc từ Trend Micro cho thấy 457 trong số 477 ca lây nhiễm được phát hiện có nguồn gốc từ Brazil. Các tổ chức trong khu vực chính phủ và dịch vụ công bị ảnh hưởng nặng nề nhất, bên cạnh các ngành sản xuất, công nghệ, giáo dục và xây dựng.

Tổng quan về Chiến dịch Mã độc SORVEPOTEL

Mục tiêu và Phạm vi Lây nhiễm

Mã độc này được thiết kế để phát tán rộng rãi, tận dụng các kênh giao tiếp phổ biến. Hiện tại, không có bằng chứng về việc đánh cắp dữ liệu hoặc mã hóa tập tin, cho thấy chiến dịch ưu tiên tốc độ lây nhiễm hơn là các hoạt động gây tổn hại sâu hơn cho hệ thống.

Phạm vi địa lý tập trung chủ yếu vào Brazil, với mục tiêu đa dạng từ cơ quan nhà nước đến doanh nghiệp tư nhân và tổ chức giáo dục. Điều này làm tăng nguy cơ an ninh mạng cho nhiều lĩnh vực quan trọng.

Kỹ thuật Lây nhiễm và Thực thi Ban đầu

Phương thức Lây lan qua WhatsApp và Email

Cuộc tấn công bắt đầu khi người dùng nhận được một tin nhắn lừa đảo (phishing) trên WhatsApp từ một liên hệ đã bị chiếm đoạt, thường là đồng nghiệp hoặc bạn bè. Các tin nhắn này viết bằng tiếng Bồ Đào Nha, chứa tệp lưu trữ ZIP được đặt tên giống như các tài liệu hợp pháp.

Các tên tệp ZIP thường gặp bao gồm “RES-20250930_112057.zip”, “ORCAMENTO_114418.zip” hoặc các biên lai ứng dụng y tế. Tin nhắn lừa đảo thường thúc giục người nhận “baixa o zip no PC e abre” (tải xuống ZIP về máy tính và mở nó ra).

Ngoài WhatsApp, email cũng được xác định là một vector tấn công thay thế. Các email lừa đảo phân phối tệp đính kèm ZIP có tên tương tự như “COMPROVANTE_20251001_094031.zip” hoặc “ComprovanteSantander-75319981.682657420.zip”. Những email này thường được gửi từ các địa chỉ và chủ đề trông có vẻ hợp pháp, ví dụ: “Documento de Rafael B” hoặc “Extrato”.

Cơ chế Khai thác LNK và Tải Payload

Bên trong tệp ZIP là một tệp shortcut của Windows (.LNK). Khi người dùng thực thi tệp này, một kịch bản PowerShell hoặc lệnh command-line sẽ được khởi chạy một cách âm thầm. Các tệp LNK được dùng để ngụy trang, giúp chúng vượt qua các hệ thống phát hiện antivirus cơ bản, duy trì khả năng truy cập ban đầu cho chiến dịch.

Kịch bản này sau đó tải payload chính từ các tên miền do kẻ tấn công kiểm soát. Các tên miền này thường sử dụng kỹ thuật typo-squatting, giả mạo các cụm từ vô hại như “sorvete no pote” (kem trong cốc). Ví dụ các URL độc hại gồm sorvetenopoate[.]com, expahnsiveuser[.]com và sorvetenopotel[.]com. Chúng đóng vai trò là điểm cuối API để phân phối các thành phần độc hại.

Các Giai đoạn Thực thi Mã độc và Duy trì Quyền kiểm soát

Duy trì Quyền truy cập (Persistence)

Payload được tải xuống thường là một kịch bản batch (.BAT). Kịch bản này đảm bảo khả năng duy trì quyền truy cập bằng cách sao chép chính nó vào thư mục Startup của Windows, đảm bảo rằng mã độc sẽ được thực thi mỗi khi hệ thống khởi động.

REM Ví dụ lệnh sao chép vào thư mục Startup
copy "%~dp0malware.bat" "%APPDATA%MicrosoftWindowsStart MenuProgramsStartupstartup.bat"

Mã hóa và Giao tiếp Command-and-Control (C2)

Kịch bản BAT sẽ tạo và thực thi một lệnh PowerShell bị xáo trộn (obfuscated) ở chế độ ẩn, sử dụng mã hóa Base64 cho các tham số của nó. Mục đích của việc xáo trộn là để che giấu các lệnh và tránh bị phát hiện bởi các công cụ bảo mật.

powershell.exe -WindowStyle Hidden -EncodedCommand JABhACAAPQAgACcAIgBpAG4AdgBvAGsAZQAtAGUAeABwAHIAZQBzA... (Base64 encoded string)

Sau khi được giải mã, kịch bản PowerShell sẽ kết nối với nhiều máy chủ Command-and-Control (C2). Từ các máy chủ này, nó tải xuống và thực thi các payload bổ sung trong bộ nhớ bằng cách sử dụng Invoke-Expression. Kỹ thuật này giúp tránh ghi dữ liệu vào ổ đĩa, làm giảm dấu vết pháp y và khó bị phát hiện hơn.

Phân tích từ Trend Micro cho thấy mã độc SORVEPOTEL duy trì liên lạc liên tục với cơ sở hạ tầng C2 của nó. Điều này cho phép kẻ tấn công cập nhật hướng dẫn hoặc triển khai các mô-đun phụ, tăng cường khả năng kiểm soát đối với các hệ thống bị xâm nhập. Đây là một mối đe dọa mạng đáng kể cần được theo dõi sát sao.

Cơ chế Tự Lan truyền và Ảnh hưởng

Tự động Phát tán qua WhatsApp Web

Một đặc điểm nổi bật của mã độc SORVEPOTEL là khả năng phát hiện các phiên WhatsApp Web đang hoạt động trên các máy bị nhiễm. Khi xác định được một phiên đã được xác thực, mã độc sẽ tự động phân phối lại tệp ZIP độc hại tương tự cho tất cả các liên hệ và nhóm trong danh bạ của nạn nhân. Điều này tạo ra một vòng lặp tự lan truyền.

Cơ chế chuyển tiếp tự động này thúc đẩy sự lây lan theo cấp số nhân, làm ngập lụt các mục tiêu bằng tin nhắn rác và thường xuyên dẫn đến việc các tài khoản bị chiếm đoạt bị đình chỉ hoặc cấm vì vi phạm các điều khoản dịch vụ của WhatsApp.

Kỹ thuật Obfuscation và Mở rộng Hạ tầng

Kẻ tấn công đằng sau mã độc SORVEPOTEL sử dụng kỹ thuật xáo trộn ở nhiều cấp độ. Ngoài việc sử dụng các tên miền typo-squatted, chúng còn nhúng các lệnh bằng cách mã hóa và encoding để che giấu ý đồ độc hại. Hạ tầng bổ sung, bao gồm các tên miền như cliente[.]rte[.]com[.]br, cũng đã được tận dụng để phân phối mã độc, cho thấy khả năng thích ứng và đa dạng hóa các kênh phân phối liên tục của chúng.

Các Chỉ số Thỏa hiệp (IOCs) của SORVEPOTEL

Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch mã độc SORVEPOTEL, giúp các chuyên gia an ninh mạng phát hiện xâm nhập và phòng thủ:

Tên miền độc hại (Typo-squatted Domains):

• sorvetenopoate[.]com
• expahnsiveuser[.]com
• sorvetenopotel[.]com
• cliente[.]rte[.]com[.]br

Tên tệp ZIP độc hại thường gặp:

• RES-20250930_112057.zip
• ORCAMENTO_114418.zip
• Biên lai ứng dụng y tế có tên tương tự
• COMPROVANTE_20251001_094031.zip
• ComprovanteSantander-75319981.682657420.zip

Biện pháp Phòng ngừa và Giảm thiểu

Chiến dịch mã độc SORVEPOTEL nhấn mạnh cách các nền tảng nhắn tin phổ biến có thể bị lợi dụng để phát tán mã độc. Sự tự lan truyền nhanh chóng với ít tương tác của người dùng minh họa sự phát triển của kỹ thuật lừa đảo xã hội kết hợp với tự động hóa trong các cuộc tấn công mạng hiện nay.

Các tổ chức cần thực thi các biện pháp phòng thủ chống lừa đảo mạnh mẽ. Nên vô hiệu hóa khả năng tự động thực thi các tệp .LNK bất cứ khi nào có thể, và giám sát các hành vi bất thường của phiên WhatsApp Web. Đây là những bước quan trọng để tăng cường an ninh mạng.

Huấn luyện nâng cao nhận thức người dùng là yếu tố then chốt; nhân viên phải cực kỳ thận trọng khi mở các tệp đính kèm nhận được qua các ứng dụng nhắn tin. Mặc dù phạm vi hiện tại tập trung vào việc lây nhiễm rộng rãi và cấm tài khoản hơn là các payload phá hoại, nhưng có những điểm tương đồng với các chiến dịch trước đây ở Brazil nhắm vào dữ liệu tài chính, cho thấy tiềm năng leo thang trong tương lai.

Để biết thêm chi tiết về phân tích kỹ thuật của mã độc này, bạn có thể tham khảo báo cáo của Trend Micro tại Self-Propagating Malware Spreads via WhatsApp.

Trend Micro tiếp tục theo dõi sát sao mã độc SORVEPOTEL và khuyến nghị duy trì các giải pháp bảo mật điểm cuối (endpoint security) được cập nhật, áp dụng nguyên tắc đặc quyền tối thiểu (least-privilege) và luôn cảnh giác trước các kỹ thuật mới nổi nhắm vào các nền tảng nhắn tin.