Takéto konverzácie vo WhatsApp môžu spôsobiť problém
Výskumníci varujú pred novým malvérom menom SORVEPOTEL, ktorý sa šíri prostredníctvom populárnej aplikácie na komunikáciu – WhatsApp. Útočníci využívajú dôveru používateľov tejto platformy a rozosielajú phishingové správy s priloženým ZIP súborom.
Keď používateľ otvorí tento súbor na počítači, malvér sa aktivuje a automaticky sa šíri prostredníctvom desktopovej verzie WhatsApp. Výsledkom je zablokovanie infikovaných účtov kvôli nadmernému spamovaniu.
Väčšina incidentov (457 zo 477) bola zaznamenaná v Brazílii, pričom cieľom sú vládne organizácie, vzdelávacie inštitúcie, technologické firmy, výroba či stavebníctvo. Napriek tomu, na pozore by sa mali mať aj používatelia na Slovensku, najmä ak túto aplikáciu využívajú aj na firemné, teda pracovné konverzácie.
Zdroj: UnsplashÚtok začína odoslaním správy z už kompromitovaného účtu na WhatsApp, čo zvyšuje dôveryhodnosť príspevku. Správa obsahuje ZIP súbor vyzerajúci ako faktúra alebo súbor súvisiaci so zdravotníctvom.
Keď používateľ súbor rozbalí, vo vnútri nájde skratku (LNK), ktorá automaticky spustí tzv. PowerShell skript. Tento skript stiahne hlavnú záťaž (payload) z externého servera a zabezpečí, že sa malvér spustí pri štarte systému. Ďalej sa zväzuje so serverom útočníka – tzv. C2 serverom – odkiaľ čerpá ďalšie inštrukcie a komponenty.
Ako sa nový malvér prejavuje?
Kľúčovou vlastnosťou malvéru SORVEPOTEL je jeho šírenie cez WhatsApp Web. Ak zistí, že desktopový systém používateľa má aktívnu reláciu WhatsApp Web, automaticky odošle ZIP súbor všetkým kontaktom a skupinám tohto používateľa. To spôsobuje masívne šírenie, čo vedie k spamovaniu a následnému suspendovaniu účtu.
The SORVEPOTEL malware campaign is exploiting WhatsApp Web sessions to spread malicious ZIP files, affecting Brazil’s public and private sectors. Review your organization’s policies on desktop messaging and file sharing.
Learn more about its infection chain here:… pic.twitter.com/k7QyEfmVbm
— Trend Micro Research (@TrendMicroRSRCH) October 7, 2025
V dodatočnej analýze Trend Micro zistil, že payload stiahnutý serverom zahŕňa komplexnú architektúru: batch skript, .NET DLL modul, shellcode a komponenty, ktoré môžu monitorovať finančné aktivity. Po infikovaní sleduje procesy, odosiela snímky obrazovky, zaznamenáva stlačenia kláves, vkladá klamlivé výzvy a manipuluje s prostredím WhatsApp Web tak, že sa zdá byť legitímne.
Len nedávno pritom aplikácia WhatsApp zaviedla zobrazovanie reklám pre používateľov aj na Slovensku. V domnienke reklamy tak môže používateľ kliknúť aj na odkazy, na ktoré by štandardne nechodil. Tému reklám v tejto službe sme rozobrali v samostatnom článku.
Minimálne zásahy zo strany používateľa a výrazná automatizácia
Tieto aktivity sa sústreďujú predovšetkým na brazílske banky, ako Banco do Brasil, Bradesco, Itaú Unibanco, Caixa Econômica Federal a ďalšie finančné inštitúcie. Druhý z modulov používa automatizáciu cez nástroj Selenium, aby mohol WhatsApp Web ovládať a posielať škodlivé správy z infikovaného systému.
Celkovo kampaň označovaná ako „Water Saci“ ukazuje, že útočníci čoraz viac využívajú bežné komunikačné platformy na rýchle a rozsiahle šírenie malvéru s minimálnym zásahom zo strany používateľa. Kombinácia sofistikovaných phishingových trikov, automatizovaných útokov a skrývania kódu robí túto hrozbu mimoriadne nebezpečnou.
