SORVEPOTEL: Как WhatsApp превратился в ледогенератор вирусов

Крутая новость из тёмной комнаты: исследователи подняли тревогу из-за самораспространяющегося WhatsApp-зараза по кличке SORVEPOTEL — явно не тот «сабж», который стоит добавлять в контакты. Расскажем по-хакерски, с лёгкой иронией, но без «как это сделать» — только вай-фай шутки и факты.

SORVEPOTEL — это мультяшный, но агрессивный «червяк-шарлатан», который гоняется за Windows-машинами и любит маскироваться под привычную для юзера хрень (типа чека или файла от приложения-здоровья). Главный трюк — сидеть в WhatsApp Web на рабочей станции и швырять в контакты заражённые ZIP-пакеты, словно кто-то устроил спам-флуд в стиле «бабушка прислала рецепт». Исследователи говорят, что кампания ориентирована на скорость распространения, а не на сбор данных или шифровальщики.

По числам: из 477 зафиксированных инцидентов почти 457 пришлись на Бразилию — то есть там явно кто-то прогрел цепочку рассылки по-хардкору, и жертвы оказались в госструктурах, образовании, производстве и ещё паре отраслей. Если кто-то думает, что это только «мобильный фолклор» — нет, здесь целевые десктопы, именно там вредяшка приживается лучше всего.

Как это выглядит глазами айтишника-наблюдателя: знакомый контакт присылает «чек» в ZIP — ты кликаешь (ой) — и далее начинается цепочка автоматической рассылки от твоего аккаунта через WhatsApp Web. В результате твой аккаунт начинает рассылать тонны спама и вполне может получить бан за нарушение правил мессенджера — не самый желанный способ «получить отпуск от чатов».

Никаких постов с рецептами по эксплуатации или «копируй-вставь» команд тут нет — исследователи описывают поведение на уровне «что делает» (самораспространение через веб-версию мессенджера, распространение через ZIP-вложения и массовые спам-рассылки), но не публикуют рабочий эксплойт. Это хорошая новость для тех, кто не хочет, чтобы репутация личного аккаунта ушла в бан.

Пара вежливых, но серьёзных нот: не открывайте подозрительные архивы и файлы на рабочем ПК, особенно если их прислал «тот самый» контакт — иногда он сам уже скомпрометирован и выглядит как живой человек. Если аккаунт вдруг ведёт себя как бот-тролль — лучше выйти из сессии WhatsApp Web и проверить устройство, а IT-отделу передать инфу вместо паники в общем чате. (Да, звучит по-банально, но бан — это реальность, а не мем.)

В целом кампания — напоминание: злоумышленники любят доверительные каналы (WhatsApp, контакты, рабочие цепочки), и их инструмент — не всегда «криминальное искусство», а чаще социальная инженерия плюс автоматизация. Осторожность и базовая гигиена в работе с файлами остаются лучшей антивирусной «шуткой», которую стоит поддерживать всерьёз.

Берегите себя и свои нервы.