2025年10月初,趨勢科技(Trend Micro)研究團隊揭露一項活躍於巴西的惡意程式攻擊行動,該活動利用WhatsApp作為主要感染管道,迅速在企業與個人間傳播。這項名為「Water Saci」的攻擊行動,其代號為 SORVEPOTEL,能透過被入侵的WhatsApp帳號自動散播惡意ZIP檔,進一步感染更多用戶。與以往單純竊取資料或勒索的攻擊不同,此次行動的特點在於「速度與自我繁殖能力」。趨勢科技指出,這波攻擊的主要目的是利用社交信任與自動化在Windows系統間迅速蔓延,且以巴西企業與金融機構為首要目標。
巴西出現會自行傳播的新型惡意程式「SORVEPOTEL」,透過 WhatsApp 擴散攻擊企業與金融機構
攻擊者透過遭入侵的聯絡人帳號發送含有ZIP壓縮檔的釣魚訊息,檔名通常偽裝成日常文件,如「RES-20250930_112057.zip」或「ORCAMENTO_114418.zip」,並以葡萄牙語鼓勵收件者「在電腦上下載並開啟」。ZIP檔中實際藏有一個Windows捷徑(.LNK)檔案。受害者一旦執行,捷徑會在背景啟動PowerShell腳本,從駭客控制的伺服器下載主要惡意程式。這些惡意域名如sorvetenoopote[.]com、expahnsiveuser[.]com等,乍看之下與合法網站相似,具迷惑性。
腳本經解碼後會連線至指揮控制伺服器(C&C),下載下一階段批次檔(.BAT),在系統中建立持續性啟動機制,確保每次開機皆自動執行。由於訊息來源看似熟人,受害者往往放下戒心,進而展開感染鏈。除了WhatsApp,趨勢科技亦觀察到電子郵件是次要感染途徑,釣魚信件以「Comprovante」、「Documento de Rafael」等主題誘使收件人開啟附件。
一旦惡意腳本在系統中運行,它會偵測電腦是否有開啟WhatsApp Web。若偵測到使用者已登入,SORVEPOTEL便會自動利用該會話向所有聯絡人與群組發送相同ZIP檔案,實現自我傳播。這導致大量垃圾訊息湧入WhatsApp伺服器,不少帳號因此被暫停或封禁。趨勢科技的監測顯示,截至目前,全球共偵測到477起相關感染案例,其中457起發生於巴西。受害者不僅限於一般用戶,還包括政府單位、公共服務、製造業、科技、教育與建築業等領域。
技術細節:多層載荷與資訊竊取
(1)第一階段:PowerShell與.NET載入
初始批次檔會下載並執行PowerShell腳本,反射式載入一個.NET DLL模組。該模組連線至兩個特定URL,下載兩組不同的惡意載荷,同時採用反分析機制偵測常見除錯工具(如IDA、Wireshark、Burp Suite等)。若通過檢測,程式會從zapgrande[.]com伺服器取得加密的Shellcode,將其注入powershell_ise.exe進程中執行,進一步展開後續攻擊階段。
(2)第二階段:Maverick.StageTwo 木馬
此階段主要執行資訊竊取與持續化操作。惡意程式會建立名為「HealthApp-XXXXXX.bat」的檔案放入啟動資料夾,以偽裝成健康應用程式。它會持續監控使用者的瀏覽器活動,特別偵測是否訪問巴西銀行網站,例如Bradesco、Banco do Brasil、Caixa、Itaú等。若使用者進入目標網域,木馬會解密並載入內部的間諜模組,以即時監控銀行登入動作、竊取憑證或竄改登入介面。
(3)第三階段:Maverick.Agent 間諜程式
Maverick.Agent負責蒐集系統資訊與執行指令。它會先確認系統是否位於巴西,檢查時區、語言、地區設定及日期格式,以避免在沙箱或外國環境中運行。一旦確定條件符合,程式會連線至adoblesecuryt[.]com的C&C伺服器,傳輸主機名稱、作業系統版本、MAC位址等資料。
此階段的功能包括:
-
鍵盤側錄與螢幕擷取
-
操控應用程式視窗
-
顯示偽造的系統或銀行安全提示
-
建立全螢幕遮罩鎖定使用者操作
進階詐騙手法:虛假銀行介面與互動式釣魚
Water Saci的攻擊行為不僅止於後台竊取,更透過**全螢幕疊加視窗(overlay)**模仿真實銀行網站,以極高擬真度騙取使用者輸入帳號密碼、電子簽章或QR碼。惡意程式利用Base64編碼的PNG圖檔重現真實銀行介面,針對的機構包括Banco do Brasil、Bradesco、Binance、Santander等。部分Java應用程式視窗甚至被強制改名為「Sicoobnet Empresarial」,以偽裝成合法銀行軟體。
WhatsApp劫持與自動化控制
在另一分支載荷中,惡意程式專門針對WhatsApp進行劫持。當確認系統語言與區域設定符合巴西或美國後,它會下載相關組件,並在本地建立Selenium與Chromedriver,用以自動操控瀏覽器並登入WhatsApp Web。藉由內嵌JavaScript模組「wppconnect.js」,程式能自動向所有聯絡人發送訊息與附件。研究人員確認,這些訊息內容與社群媒體上流傳的惡意WhatsApp訊息截圖完全相符,證實該行動正在真實環境中活躍運作。
趨勢科技指出,攻擊者刻意要求受害者「在電腦上開啟檔案」,顯示目標對象以企業使用者為主。這意味著攻擊者瞄準的是員工的BYOD(自帶裝置)環境與通訊應用漏洞。在現代企業中,WhatsApp、Telegram等即時通訊工具常被非正式地用於業務聯繫,這為攻擊者提供了繞過傳統電子郵件與網路閘道防護的通路。雖然台灣還沒出現災情,但因為台灣民眾高度依賴 LINE、Messenger這類傳訊軟體,所以預先防範相同類型的病毒就相當重要。
防禦建議與策略
趨勢科技提出三項具體建議,以協助企業與個人減少此類攻擊風險:
-
停用自動下載功能
關閉WhatsApp的自動媒體與文件下載設定,避免使用者無意間接觸惡意檔案。 -
限制個人應用程式檔案傳輸
透過端點安全策略或防火牆設定,封鎖WhatsApp、Telegram等個人通訊應用的檔案傳輸功能。對於採用BYOD的企業,應採用白名單與容器化管理。 -
強化員工資安意識
定期舉辦釣魚防範與通訊安全教育,提醒員工即使來自熟悉聯絡人的附件或連結,也需保持懷疑並透過官方管道確認真偽。