趨勢科技近期發現一名為SORVEPOTEL的惡意軟體活動,首波正從巴西透過WhatsApp應用程式迅速擴散。從指令代碼觀察,這是一波資料竊取(infostealer)活動,針對巴西的多家金融機構與加密貨幣交易所進行攻擊,雖然目前尚未在台灣等亞洲地區觀察到相關感染案例,但由於WhatsApp在全球擁有許多用戶並透過看似來自熟識聯絡人的ZIP壓縮檔為誘餌,趨勢科技提醒台灣使用者與企業應提高警覺,避免遭到入侵。
趨勢科技威脅研究團隊最新分析參考如下:
- 傳播方式:惡意軟體以看似來自熟識聯絡人的ZIP壓縮檔為誘餌,受害者一旦開啟並執行,惡意程式便會啟動。
- 影響行為:受感染後,攻擊者會劫持使用者的WhatsApp帳號,並自動向所有聯絡人發送惡意訊息,進一步擴散感染;受害帳號甚至可能因大量發送垃圾訊息而遭封鎖或停權。
- 攻擊目標:需在Windows桌面端執行,顯示攻擊行為可能更偏向企業使用者,並涉及PowerShell腳本操作。
- 目前狀況:趨勢科技已主動展開防護措施並持續監測潛在擴散跡象。
趨勢科技提出三點建議提醒民眾與企業:
- 不要隨意開啟來源不明或看似異常的ZIP附件
- 確認發送者身份再開啟文件或連結
- 確保安裝最新版資安防護軟體,以防止惡意檔案自動執行