Эксперты по кибербезопасности компании Trend Micro обнаружили новую вредоносную кампанию, нацеленную на пользователей мессенджера WhatsApp. Зловред под названием SORVEPOTEL отличается от большинства аналогичных угроз своей основной задачей — не кража данных и не шифрование файлов, а максимально быстрое распространение через веб-версию мессенджера на операционной системе Windows. Эта атака превращает аккаунты ничего не подозревающих пользователей в источники спама, что в конечном итоге приводит к их блокировке администрацией сервиса.
Механизм атаки: от фишингового сообщения до полного заражения
Атака начинается с отправки фишинговых сообщений, которые рассылаются с уже взломанных аккаунтов, что значительно повышает их убедительность для получателя. Пользователь получает ZIP-архив, замаскированный под квитанцию или медицинский документ. Доверие к отправителю, которым может быть коллега, друг или родственник, побуждает жертву открыть файл, не подозревая об угрозе.
При открытии архива на компьютере запускается LNK-файл (ярлык Windows), который в фоновом режиме активирует скрипт PowerShell. Этот скрипт загружает главный вредоносный модуль с удаленного сервера. Вредоносное ПО прописывается в автозагрузку Windows, обеспечивая свой запуск при каждой перезагрузке системы. После установки оно устанавливает связь с управляющим сервером для получения дальнейших команд.
«Отличительной чертой этого зловреда является способ его распространения. Если на заражённом компьютере активна веб-сессия WhatsApp, SORVEPOTEL автоматически рассылает вредоносный ZIP-архив всем контактам и группам пользователя», — сообщают эксперты Trend Micro.
Уникальность угрозы: быстрое распространение и блокировка аккаунтов
Ключевой особенностью SORVEPOTEL является механизм его распространения через веб-версию WhatsApp. Как только вредоносная программа получает доступ к активной веб-сессии мессенджера, она начинает автоматически рассылать зараженный ZIP-архив всем контактам и в группы пользователя. Это быстро превращает инфицированный аккаунт в источник спама, что часто приводит к его блокировке администрацией WhatsApp за нарушение правил сервиса.
Такой подход делает SORVEPOTEL особенно опасным, поскольку пользователь может не только потерять доступ к своему аккаунту, но и непреднамеренно способствовать заражению своих коллег, друзей и родственников. Массовые рассылки с компрометированных аккаунтов создают цепную реакцию, значительно увеличивая масштабы кампании в кратчайшие сроки.
По данным исследователей, на сегодняшний день зарегистрировано 477 случаев заражения, почти все из которых зафиксированы в Бразилии. Среди пострадавших — представители государственного сектора, промышленности, IT-сферы и образовательных учреждений. Эксперты полагают, что атака нацелена именно на десктопные версии мессенджера, поскольку использование WhatsApp Web в корпоративной среде открывает возможность проникновения в организационные сети.
Более широкая проблема: уязвимости в настольной версии WhatsApp
Обнаружение SORVEPOTEL произошло на фоне выявления критической уязвимости в настольной версии WhatsApp для Windows. Уязвимость CVE-2025-30401, о которой в апреле 2025 года предупредили сотрудники Министерства внутренних дел России, представляет собой спуфинговую проблему, затрагивающую все версии приложения ниже 2.2450.6.
Суть уязвимости заключается в несоответствии между механизмами проверки типа файла. При первичной обработке вложения приложение определяет его тип по MIME (Multipurpose Internet Mail Extensions), ориентируясь на фактическое содержимое файла. Однако при открытии вложения настольная версия WhatsApp ориентируется исключительно на расширение файла.
Это несоответствие позволяет злоумышленникам создавать специально сформированные файлы, где декларируемый MIME-тип соответствует безопасному формату (например, изображению), в то время как фактическое расширение указывает на исполняемый файл. Когда пользователь открывает такой файл, система обрабатывает его содержимое на основе расширения, что может привести к удаленному выполнению произвольного кода.
«Потенциальный масштаб ущерба от уязвимости в зеленом мессенджере огромный. Больше половины пользователей общаются в открытых мессенджерах по работе, а в WhatsApp можно написать любому просто по номеру телефона», — отметил Евгений Перов, директор по продукту в корпоративном мессенджере Compass.
Повторение старых схем
Эксперты отмечают, что уязвимость CVE-2025-30401 делает WhatsApp для Windows уязвимым к банальнейшей хитрости, к которой киберпреступники прибегали 25-30 лет назад, рассылая вредоносное ПО по электронной почте. Проблема сохранялась в кодовой базе десктопной версии приложения с момента его создания в 2016 году и была устранена только в обновлении 2.2450.6.
Это не первый случай, когда в мессенджере обнаруживаются серьезные уязвимости. В 2019 году израильская компания NSO Group использовала критические уязвимости в WhatsApp для скрытого внедрения своего шпионского ПО Pegasus на телефоны жертв. Это позволило заразить от 1200 до 1400 устройств и получить несанкционированный доступ к микрофонам, камерам и конфиденциальным данным их владельцев.
В 2021 году та же NSO Group продавала 0-click уязвимость, позволяющую удаленно выполнить код через WhatsApp, за 1,7 млн долларов США. В мае 2025 года федеральный суд США обязал NSO Group выплатить компенсацию в размере 167 миллионов долларов за использование уязвимостей в мессенджере.
Рекомендации по защите и профилактике
Специалисты по кибербезопасности и представители МВД России настоятельно рекомендуют пользователям обновить настольную версию WhatsApp для Windows до версии 2.2450.6 или новее, в которой уязвимость CVE-2025-30401 была устранена. Для защиты от угрозы SORVEPOTEL и подобных вредоносных кампаний эксперты советуют придерживаться нескольких ключевых правил.
Не следует открывать вложения из сообщений от неизвестных отправителей, даже если они выглядят как легитимные документы. Особую осторожность нужно проявлять к ZIP-архивам, замаскированным под квитанции, медицинские документы или другие официальные бумаги. Важно помнить, что злоумышленники часто используют социальную инженерию, чтобы вызвать доверие жертвы.
Регулярное обновление операционной системы, антивирусного программного обеспечения и самих приложений является необходимой мерой безопасности. Следует использовать антивирусные решения с функциями контроля целостности системных файлов и отслеживания изменений в системном разделе. Для корпоративных пользователей особенно важно обеспечить использование защищенных мессенджеров, предназначенных для бизнес-коммуникаций.
Соблюдение этих мер предосторожности позволяет значительно снизить риск заражения вредоносными программами и последующей блокировки аккаунта за распространение спама. Осведомленность пользователей о современных киберугрозах и методах защиты от них становится ключевым фактором безопасности в цифровом пространстве.
Растущие риски корпоративных сетей
Обнаружение вредоносной кампании SORVEPOTEL и уязвимости CVE-2025-30401 в настольной версии WhatsApp подчеркивает растущие риски, связанные с использованием потребительских мессенджеров в корпоративной среде. Как отмечают эксперты, основная опасность заключается в том, что WhatsApp изначально не приспособлен для корпоративного общения.
Бизнесу необходимы продукты с высоким уровнем безопасности, закрытым от внешних пользователей контуром и надежной идентификацией профилей. Использование непредназначенных для бизнеса мессенджеров создает брешь в безопасности, через которую могут проникать вредоносные файлы, фишинговые ссылки и другие угрозы, потенциально приводя к бесконтрольным утечкам данных.
На текущий момент уязвимость CVE-2025-30401 была устранена в актуальных версиях WhatsApp для Windows, однако проблема сохраняется в ранних сборках, вплоть до версии 2.2450.6. Пользователям рекомендуется немедленно обновить приложение до последней версии и проявлять повышенную бдительность при получении подозрительных сообщений с вложениями.
WhatsApp* (принадлежит компании Meta, в России признан экстремистским и запрещен).
