Un nuovo malware sta destando forte preoccupazione nella comunità della sicurezza informatica per la sua capacità di diffondersi autonomamente attraverso WhatsApp. Si chiama SORVEPOTEL e, secondo i ricercatori che lo hanno analizzato, è una minaccia in rapida evoluzione capace di sfruttare la fiducia sociale e le abitudini quotidiane degli utenti per propagarsi senza bisogno di intervento umano. Individuato inizialmente in Brasile, questo malware si comporta come un agente auto-replicante che trasforma gli account infetti in strumenti di contagio digitale, con implicazioni potenzialmente gravi anche per ambienti aziendali e istituzionali.
Il funzionamento di SORVEPOTEL è complesso e studiato nei minimi dettagli. L’infezione parte solitamente da un messaggio WhatsApp che proviene da un contatto legittimo, già compromesso. Il messaggio, dall’aspetto del tutto innocuo, contiene un file ZIP che sembra un documento comune come una ricevuta, una fattura o un preventivo. Una volta scaricato e aperto sul computer, il file esegue in realtà un collegamento con estensione .LNK che attiva uno script PowerShell malevolo. Lo script scarica da remoto un payload principale, eseguito direttamente in memoria, che inietta codice nel processo di sistema powershell_ise.exe. In questo modo il malware si insinua nel sistema senza lasciare tracce immediate e stabilisce meccanismi di persistenza che gli permettono di restare attivo anche dopo il riavvio del dispositivo.
La caratteristica più pericolosa di SORVEPOTEL è la sua capacità di sfruttare WhatsApp Web per propagarsi automaticamente. Dopo l’infezione, il malware individua eventuali sessioni attive del servizio e utilizza l’account dell’utente per inviare lo stesso file malevolo a tutti i contatti e gruppi collegati. L’utente, di fatto, diventa inconsapevolmente parte della catena di distribuzione del malware, che si diffonde con una velocità impressionante grazie all’automatismo dell’invio e alla fiducia che esiste tra contatti reali. Questo comportamento ha portato molti account compromessi a essere sospesi o bannati a causa dell’attività di spam, ma i danni più gravi non riguardano solo la diffusione dei messaggi: il malware comunica costantemente con server di comando e controllo, ricevendo istruzioni, aggiornamenti e nuovi moduli. Gli attaccanti possono così modificare le funzioni del codice, attivare componenti per il furto di dati, il monitoraggio del traffico bancario o l’infiltrazione di credenziali sensibili, estendendo l’attacco ben oltre la semplice fase di infezione iniziale.
Il livello di pericolo associato a SORVEPOTEL è alto. La capacità di diffondersi in modo automatico e la credibilità del canale utilizzato lo rendono una minaccia insidiosa, soprattutto in contesti aziendali dove molti dipendenti usano WhatsApp Web anche per scopi lavorativi. La fiducia nel contatto che invia il file aumenta le probabilità di infezione e riduce l’efficacia delle difese basate sul comportamento dell’utente. Inoltre, il fatto che gran parte del codice venga eseguito in memoria e che il malware si annidi in processi legittimi complica il rilevamento da parte delle soluzioni antivirus tradizionali. In scenari in cui si adottano politiche BYOD, in cui i dispositivi personali sono connessi a reti aziendali, il rischio si amplifica, poiché un’infezione domestica può facilmente varcare il confine e arrivare a sistemi critici.
Sebbene al momento i casi confermati siano concentrati in Brasile, i ricercatori avvertono che l’architettura del malware non presenta limiti geografici. Basta che un utente infetto abbia contatti all’estero perché la campagna inizi a propagarsi in nuove regioni. L’uso di WhatsApp, app universale e trasversale a tutte le fasce di utenza, rende il vettore perfetto per una diffusione globale, e nulla impedisce agli autori di adattare rapidamente il codice per colpire in altre lingue o contesti.
Contenere una minaccia di questo tipo richiede un approccio olistico, che combini tecnologia, formazione e politica di sicurezza. Gli utenti devono essere sensibilizzati a non aprire allegati, anche se provenienti da contatti fidati, e le aziende dovrebbero valutare se limitare o monitorare l’uso di WhatsApp Web nei dispositivi connessi alla rete aziendale. L’adozione di soluzioni di sicurezza avanzate, capaci di rilevare comportamenti anomali come l’esecuzione sospetta di script PowerShell o la comunicazione con domini non verificati, è un passo fondamentale. Ugualmente importante è la segmentazione delle reti, per evitare che una macchina compromessa possa fungere da ponte verso risorse sensibili.
SORVEPOTEL dimostra ancora una volta come le minacce moderne stiano evolvendo dal punto di vista tecnico e psicologico. L’intuizione di sfruttare un canale di comunicazione basato sulla fiducia tra persone trasforma WhatsApp in un potente strumento di attacco. Anche se al momento l’epicentro dell’infezione è circoscritto, il potenziale di espansione e di danno è considerevole. Per questo è indispensabile mantenere alta l’attenzione, aggiornare costantemente le difese e ricordare che, in materia di cybersecurity, il primo vettore di attacco resta sempre l’essere umano.
Commenti
Posta un commento