【安全资讯】新型自传播恶意软件SORVEPOTEL通过WhatsApp在巴西快速扩散

概要：

近期，一场利用即时通讯平台WhatsApp进行快速传播的恶意软件活动在巴西引发广泛关注。该被命名为SORVEPOTEL的恶意程序通过钓鱼消息中的恶意ZIP附件感染Windows系统，并利用被劫持的WhatsApp Web会话自动向所有联系人传播，形成了自传播的连锁反应。目前该活动已对政府部门、制造业和科技公司等多个行业造成影响。

主要内容：

SORVEPOTEL攻击链始于用户收到来自已感染联系人的WhatsApp消息，其中包含伪装成收据、预算等正常文档的ZIP附件。消息使用葡萄牙语诱导用户在PC端下载并打开文件。解压后的ZIP内含.LNK快捷方式文件，执行后会通过PowerShell脚本从攻击者控制的域名下载主要恶意负载。

技术分析显示，恶意软件采用多层混淆技术逃避检测。LNK文件包含加密命令，通过Invoke-Expression函数从指定URL下载恶意脚本并在内存中执行。下载的批处理文件(.BAT)会复制自身到Windows启动文件夹建立持久性，并使用Base64编码参数隐藏PowerShell命令。

该恶意软件的核心特征是利用活跃的WhatsApp Web会话自动传播。一旦检测到会话活动，就会自动向受害账户的所有联系人和群组发送相同的恶意ZIP文件，形成快速扩散。这种自动化传播导致大量垃圾消息，常导致账户因违反服务条款而被封禁。

目前证据表明SORVEPOTEL主要目标是广泛传播而非深度系统入侵，但使用类似技术的巴西攻击活动曾以金融数据为目标。攻击者使用仿冒域名如sorvetenopoate[.]com进行混淆，并持续更新分发基础设施以增强隐蔽性。