Source: https://thehackernews.com/2025/10/researchers-warn-of-self-spreading.html
🛡 概要
新たに発見された自己拡散型マルウェアSORVEPOTELは、主にブラジルのWhatsAppユーザーをターゲットにしています。このマルウェアは、メッセージアプリの信頼性を利用してWindowsシステムに拡散し、データの盗難やランサムウェア攻撃を目的としていないとされています。Trend Microによると、この攻撃は「スピードと拡散」を重視して設計されており、特に企業を狙ったものと考えられています。
🔍 技術詳細
SORVEPOTELは、感染したWhatsAppのコンタクトから送信されるフィッシングメッセージを通じて拡散します。メッセージには悪意のあるZIPファイルが添付されており、受信者がデスクトップでこれを開くことを促します。ZIPファイルを開くと、Windowsショートカット(LNK)ファイルが実行され、PowerShellスクリプトが外部サーバーからメインペイロードを取得します。このペイロードは、ホストのWindowsスタートアップフォルダーに自らをコピーし、システム起動時に自動的に起動されるように設計されています。さらに、C2サーバーに接続し、追加の指示や悪意のあるコンポーネントを取得します。
⚠ 影響
このマルウェアの影響は非常に広範囲に及び、457件の感染がブラジルで確認されています。特に政府、公共サービス、製造業、技術、教育、建設業界が最も影響を受けています。感染したアカウントは、WhatsAppの利用規約違反により一時停止または禁止されることが多く、スパムメッセージの大量送信が原因です。興味深いことに、攻撃者はデータの流出やファイルの暗号化を行っていないとされていますが、企業への影響は無視できません。
🛠 対策
SORVEPOTELからの保護には、ユーザーが疑わしいメッセージを開かないことが重要です。特に、信頼できる連絡先からのメッセージであっても、ZIPファイルやリンクを開く前に慎重に確認する必要があります。企業は、従業員に対するセキュリティ教育を強化し、フィッシング攻撃の兆候を認識させることが求められます。また、最新のアンチウイルスソフトウェアを導入し、システムの定期的なスキャンを行うことで、マルウェアの早期発見と対策が可能になります。
