حذر باحثو أمن من حملة برمجية جديدة تُعرف بتسمية SORVEPOTEL، تستغل تطبيق المراسلة الشائع WhatsApp للانتشار الذاتي بين أنظمة Windows. تركز الحملة بشكلٍ واضح على سرعة الانتشار والعدوى الواسعة لا على سرقة البيانات أو طلب فدية، وقد تركزت غالبية الحالات في البرازيل، مستهدفة جهات حكومية وقطاعات عامة وتجارية.
طريقة الانتشار والأسلوب الهجومي
تنطلق الحملة عبر رسائل تصيّد تبدو قادمة من جهات موثوقة — غالبًا من جهات اتصال مخترَقة بالفعل — وتُرفق بها ملفات ZIP خبيثة تتنكر عادةً في صورة إيصال أو ملف متعلق بتطبيق صحي. ثمة دلائل أيضًا على استخدام رسائل بريد إلكتروني مرسلة من عناوين تبدو شرعية لتوزيع نفس المرفقات. عند فتح المرفق على حاسب مكتبي تُحَرَّك سلسلة خطوات خفية: ملف اختصار Windows (LNK) يُطلق سكربت PowerShell يقوم بتحميل الحمولة الأساسية من خادم خارجي (مثلًا: sorvetenopoate[.]com). الحمولة التي تُنزَل غالبًا ما تكون سكربت دفعي (batch) يضمن استمرارية التنفيذ عبر نسخ نفسه إلى مجلد Startup وتشغيل أوامر PowerShell للتواصل مع خادم قيادة وتحكّم (C2) لتحميل تعليمات أو مكونات إضافية.
آلية الانتشار عبر WhatsApp وتأثيرها
ما يميّز SORVEPOTEL هو آلية الانتشار المرتكزة على نسخة الويب من WhatsApp: إذا اكتشف البرمجية أن WhatsApp Web مفعل على الجهاز المصاب، تقوم تلقائيًا بإرسال ملف ZIP الخبيث إلى جميع جهات الاتصال والمجموعات المرتبطة بحساب الضحية، مما يؤدي إلى تسارع العدوى بمقدار كبير. هذه الحركات الآلية تُنتج حجمًا كبيرًا من الرسائل المزعجة (spam)، ما يؤدي غالبًا إلى تعليق أو حظر الحسابات المخترقة لمخالفتها شروط خدمة WhatsApp.
النطاق والضحايا والتحليل الميداني
من بين 477 حالة مُبلَّغ عنها، سُجّلت 457 حالة في البرازيل، واستُهدِفت مؤسسات في قطاعات الحكومة، الخدمة العامة، التصنيع، التكنولوجيا، التعليم، والإنشاءات. وأشار الباحثون إلى أن رسائل التصيّد تطلب من المستلم فتح المرفق على الحاسب المكتبي، مما يوحي بأن المهاجمين يستهدفون في المقام الأول بيئات مؤسسية أكثر من المستهلكين. حتى الآن لا توجد مؤشرات واضحة على أن المهاجمين يسعون لسرقة البيانات أو تشفيرها، إذ يبدو الهدف الرئيسي هو الانتشار السريع عبر شبكات الاتصالات.
