“SORVEPOTEL มัลแวร์สายพันธุ์ใหม่ระบาดผ่าน WhatsApp — แพร่ไวระดับประเทศ พร้อมขโมยข้อมูลธนาคารในบราซิล”
Trend Micro เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ “Water Saci” ที่ใช้มัลแวร์ตัวใหม่ชื่อ SORVEPOTEL ซึ่งแพร่กระจายอย่างรวดเร็วผ่าน WhatsApp โดยเฉพาะในบราซิล โดยแฮกเกอร์ใช้เทคนิค social engineering ส่งไฟล์ ZIP อันตรายจากบัญชี WhatsApp ที่ถูกยึดมาแล้ว ทำให้เหยื่อหลงเชื่อว่าเป็นไฟล์จากเพื่อนหรือเพื่อนร่วมงาน
เมื่อเหยื่อเปิดไฟล์ ZIP ที่ดูเหมือนเอกสารทั่วไป เช่น “RES-20250930_112057.zip” หรือ “ORCAMENTO_114418.zip” จะพบไฟล์ .LNK ที่เรียกใช้ PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติมจากโดเมนที่ควบคุมโดยผู้โจมตี เช่น sorvetenopotel[.]com และ expahnsiveuser[.]com
จุดเด่นที่อันตรายของ SORVEPOTEL คือความสามารถในการ “ยึด WhatsApp Web session” บนเครื่องที่ติดเชื้อ แล้วส่งไฟล์ ZIP เดิมไปยังทุกกลุ่มและรายชื่อในบัญชี WhatsApp ของเหยื่อโดยอัตโนมัติ ทำให้เกิดการแพร่กระจายแบบหนอน (worm) และบัญชี WhatsApp ถูกแบนจากการส่งสแปม
มัลแวร์ยังมีฟีเจอร์ขั้นสูง เช่น การขโมยข้อมูลธนาคารผ่าน overlay phishing ที่สร้างหน้าจอหลอกแบบเต็มจอ ซึ่งเลียนแบบแอปธนาคารจริง เช่น Banco do Brasil, Bradesco, Itaú, Santander และ Binance โดยจะดักจับรหัสผ่าน, PIN และรหัส OTP แบบเรียลไทม์
นอกจากนี้ SORVEPOTEL ยังมีระบบตรวจจับเครื่องมือวิเคราะห์ เช่น IDA หรือ Wireshark และจะปิดตัวเองทันทีหากพบว่ากำลังถูกวิเคราะห์ พร้อมระบบ geo-validation ที่ทำให้มัลแวร์ทำงานเฉพาะในบราซิลเท่านั้น
Trend Micro ระบุว่า ณ ขณะนี้พบการติดเชื้อแล้ว 477 เคส โดย 457 เคสอยู่ในบราซิล และมัลแวร์ได้เจาะเข้าไปในหน่วยงานรัฐ, โรงงาน, สถาบันการศึกษา และบริษัทเทคโนโลยี
ข้อมูลสำคัญจากข่าว
SORVEPOTEL เป็นมัลแวร์ที่แพร่ผ่าน WhatsApp โดยใช้ไฟล์ ZIP อันตราย
ไฟล์ ZIP มีชื่อเหมือนเอกสารทั่วไป เช่น RES-20250930_112057.zip
ภายในมีไฟล์ .LNK ที่เรียก PowerShell script เพื่อดาวน์โหลด payload
มัลแวร์สามารถยึด WhatsApp Web session แล้วส่งไฟล์ไปยังทุกกลุ่มและรายชื่อ
ส่งผลให้บัญชี WhatsApp ถูกแบนจากการส่งสแปม
มีระบบ overlay phishing ที่เลียนแบบหน้าจอธนาคารจริง
ดักจับข้อมูลสำคัญ เช่น รหัสผ่าน, PIN, OTP แบบเรียลไทม์
ตรวจจับเครื่องมือวิเคราะห์และปิดตัวเองทันทีหากถูกตรวจสอบ
ทำงานเฉพาะในบราซิลผ่าน geo-validation
พบการติดเชื้อแล้ว 477 เคส โดย 457 เคสอยู่ในบราซิล
ข้อมูลเสริมจากภายนอก
WhatsApp Web session สามารถถูก hijack ได้หากเครื่องติดมัลแวร์
overlay phishing เป็นเทคนิคที่ใช้หลอกผู้ใช้ให้กรอกข้อมูลในหน้าจอปลอม
PowerShell เป็นเครื่องมือที่นิยมใช้ในการโจมตีแบบ fileless
การใช้โดเมนปลอมที่ดูเหมือนคำธรรมดา เช่น “sorvete no pote” ช่วยหลบการตรวจจับ
BYOD (Bring Your Own Device) ทำให้มัลแวร์สามารถเจาะระบบองค์กรผ่านอุปกรณ์ส่วนตัว
https://securityonline.info/whatsapp-worm-new-sorvepotel-malware-hijacks-sessions-to-spread-aggressively-across-brazil/
Trend Micro เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ “Water Saci” ที่ใช้มัลแวร์ตัวใหม่ชื่อ SORVEPOTEL ซึ่งแพร่กระจายอย่างรวดเร็วผ่าน WhatsApp โดยเฉพาะในบราซิล โดยแฮกเกอร์ใช้เทคนิค social engineering ส่งไฟล์ ZIP อันตรายจากบัญชี WhatsApp ที่ถูกยึดมาแล้ว ทำให้เหยื่อหลงเชื่อว่าเป็นไฟล์จากเพื่อนหรือเพื่อนร่วมงาน
เมื่อเหยื่อเปิดไฟล์ ZIP ที่ดูเหมือนเอกสารทั่วไป เช่น “RES-20250930_112057.zip” หรือ “ORCAMENTO_114418.zip” จะพบไฟล์ .LNK ที่เรียกใช้ PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติมจากโดเมนที่ควบคุมโดยผู้โจมตี เช่น sorvetenopotel[.]com และ expahnsiveuser[.]com
จุดเด่นที่อันตรายของ SORVEPOTEL คือความสามารถในการ “ยึด WhatsApp Web session” บนเครื่องที่ติดเชื้อ แล้วส่งไฟล์ ZIP เดิมไปยังทุกกลุ่มและรายชื่อในบัญชี WhatsApp ของเหยื่อโดยอัตโนมัติ ทำให้เกิดการแพร่กระจายแบบหนอน (worm) และบัญชี WhatsApp ถูกแบนจากการส่งสแปม
มัลแวร์ยังมีฟีเจอร์ขั้นสูง เช่น การขโมยข้อมูลธนาคารผ่าน overlay phishing ที่สร้างหน้าจอหลอกแบบเต็มจอ ซึ่งเลียนแบบแอปธนาคารจริง เช่น Banco do Brasil, Bradesco, Itaú, Santander และ Binance โดยจะดักจับรหัสผ่าน, PIN และรหัส OTP แบบเรียลไทม์
นอกจากนี้ SORVEPOTEL ยังมีระบบตรวจจับเครื่องมือวิเคราะห์ เช่น IDA หรือ Wireshark และจะปิดตัวเองทันทีหากพบว่ากำลังถูกวิเคราะห์ พร้อมระบบ geo-validation ที่ทำให้มัลแวร์ทำงานเฉพาะในบราซิลเท่านั้น
Trend Micro ระบุว่า ณ ขณะนี้พบการติดเชื้อแล้ว 477 เคส โดย 457 เคสอยู่ในบราซิล และมัลแวร์ได้เจาะเข้าไปในหน่วยงานรัฐ, โรงงาน, สถาบันการศึกษา และบริษัทเทคโนโลยี
ข้อมูลสำคัญจากข่าว
SORVEPOTEL เป็นมัลแวร์ที่แพร่ผ่าน WhatsApp โดยใช้ไฟล์ ZIP อันตราย
ไฟล์ ZIP มีชื่อเหมือนเอกสารทั่วไป เช่น RES-20250930_112057.zip
ภายในมีไฟล์ .LNK ที่เรียก PowerShell script เพื่อดาวน์โหลด payload
มัลแวร์สามารถยึด WhatsApp Web session แล้วส่งไฟล์ไปยังทุกกลุ่มและรายชื่อ
ส่งผลให้บัญชี WhatsApp ถูกแบนจากการส่งสแปม
มีระบบ overlay phishing ที่เลียนแบบหน้าจอธนาคารจริง
ดักจับข้อมูลสำคัญ เช่น รหัสผ่าน, PIN, OTP แบบเรียลไทม์
ตรวจจับเครื่องมือวิเคราะห์และปิดตัวเองทันทีหากถูกตรวจสอบ
ทำงานเฉพาะในบราซิลผ่าน geo-validation
พบการติดเชื้อแล้ว 477 เคส โดย 457 เคสอยู่ในบราซิล
ข้อมูลเสริมจากภายนอก
WhatsApp Web session สามารถถูก hijack ได้หากเครื่องติดมัลแวร์
overlay phishing เป็นเทคนิคที่ใช้หลอกผู้ใช้ให้กรอกข้อมูลในหน้าจอปลอม
PowerShell เป็นเครื่องมือที่นิยมใช้ในการโจมตีแบบ fileless
การใช้โดเมนปลอมที่ดูเหมือนคำธรรมดา เช่น “sorvete no pote” ช่วยหลบการตรวจจับ
BYOD (Bring Your Own Device) ทำให้มัลแวร์สามารถเจาะระบบองค์กรผ่านอุปกรณ์ส่วนตัว
https://securityonline.info/whatsapp-worm-new-sorvepotel-malware-hijacks-sessions-to-spread-aggressively-across-brazil/
📲 “SORVEPOTEL มัลแวร์สายพันธุ์ใหม่ระบาดผ่าน WhatsApp — แพร่ไวระดับประเทศ พร้อมขโมยข้อมูลธนาคารในบราซิล”
Trend Micro เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ “Water Saci” ที่ใช้มัลแวร์ตัวใหม่ชื่อ SORVEPOTEL ซึ่งแพร่กระจายอย่างรวดเร็วผ่าน WhatsApp โดยเฉพาะในบราซิล โดยแฮกเกอร์ใช้เทคนิค social engineering ส่งไฟล์ ZIP อันตรายจากบัญชี WhatsApp ที่ถูกยึดมาแล้ว ทำให้เหยื่อหลงเชื่อว่าเป็นไฟล์จากเพื่อนหรือเพื่อนร่วมงาน
เมื่อเหยื่อเปิดไฟล์ ZIP ที่ดูเหมือนเอกสารทั่วไป เช่น “RES-20250930_112057.zip” หรือ “ORCAMENTO_114418.zip” จะพบไฟล์ .LNK ที่เรียกใช้ PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติมจากโดเมนที่ควบคุมโดยผู้โจมตี เช่น sorvetenopotel[.]com และ expahnsiveuser[.]com
จุดเด่นที่อันตรายของ SORVEPOTEL คือความสามารถในการ “ยึด WhatsApp Web session” บนเครื่องที่ติดเชื้อ แล้วส่งไฟล์ ZIP เดิมไปยังทุกกลุ่มและรายชื่อในบัญชี WhatsApp ของเหยื่อโดยอัตโนมัติ ทำให้เกิดการแพร่กระจายแบบหนอน (worm) และบัญชี WhatsApp ถูกแบนจากการส่งสแปม
มัลแวร์ยังมีฟีเจอร์ขั้นสูง เช่น การขโมยข้อมูลธนาคารผ่าน overlay phishing ที่สร้างหน้าจอหลอกแบบเต็มจอ ซึ่งเลียนแบบแอปธนาคารจริง เช่น Banco do Brasil, Bradesco, Itaú, Santander และ Binance โดยจะดักจับรหัสผ่าน, PIN และรหัส OTP แบบเรียลไทม์
นอกจากนี้ SORVEPOTEL ยังมีระบบตรวจจับเครื่องมือวิเคราะห์ เช่น IDA หรือ Wireshark และจะปิดตัวเองทันทีหากพบว่ากำลังถูกวิเคราะห์ พร้อมระบบ geo-validation ที่ทำให้มัลแวร์ทำงานเฉพาะในบราซิลเท่านั้น
Trend Micro ระบุว่า ณ ขณะนี้พบการติดเชื้อแล้ว 477 เคส โดย 457 เคสอยู่ในบราซิล และมัลแวร์ได้เจาะเข้าไปในหน่วยงานรัฐ, โรงงาน, สถาบันการศึกษา และบริษัทเทคโนโลยี
✅ ข้อมูลสำคัญจากข่าว
➡️ SORVEPOTEL เป็นมัลแวร์ที่แพร่ผ่าน WhatsApp โดยใช้ไฟล์ ZIP อันตราย
➡️ ไฟล์ ZIP มีชื่อเหมือนเอกสารทั่วไป เช่น RES-20250930_112057.zip
➡️ ภายในมีไฟล์ .LNK ที่เรียก PowerShell script เพื่อดาวน์โหลด payload
➡️ มัลแวร์สามารถยึด WhatsApp Web session แล้วส่งไฟล์ไปยังทุกกลุ่มและรายชื่อ
➡️ ส่งผลให้บัญชี WhatsApp ถูกแบนจากการส่งสแปม
➡️ มีระบบ overlay phishing ที่เลียนแบบหน้าจอธนาคารจริง
➡️ ดักจับข้อมูลสำคัญ เช่น รหัสผ่าน, PIN, OTP แบบเรียลไทม์
➡️ ตรวจจับเครื่องมือวิเคราะห์และปิดตัวเองทันทีหากถูกตรวจสอบ
➡️ ทำงานเฉพาะในบราซิลผ่าน geo-validation
➡️ พบการติดเชื้อแล้ว 477 เคส โดย 457 เคสอยู่ในบราซิล
✅ ข้อมูลเสริมจากภายนอก
➡️ WhatsApp Web session สามารถถูก hijack ได้หากเครื่องติดมัลแวร์
➡️ overlay phishing เป็นเทคนิคที่ใช้หลอกผู้ใช้ให้กรอกข้อมูลในหน้าจอปลอม
➡️ PowerShell เป็นเครื่องมือที่นิยมใช้ในการโจมตีแบบ fileless
➡️ การใช้โดเมนปลอมที่ดูเหมือนคำธรรมดา เช่น “sorvete no pote” ช่วยหลบการตรวจจับ
➡️ BYOD (Bring Your Own Device) ทำให้มัลแวร์สามารถเจาะระบบองค์กรผ่านอุปกรณ์ส่วนตัว
https://securityonline.info/whatsapp-worm-new-sorvepotel-malware-hijacks-sessions-to-spread-aggressively-across-brazil/
0 Comments
0 Shares
79 Views
0 Reviews