كشف باحثون في Trend Micro عن حملة خبيثة جديدة تعرف باسم Water Saci، تستهدف مستخدمين في البرازيل مستخدمة تطبيق واتساب كقناة رئيسية للتوزيع. تعتمد الحملة، التي ظهرت لأول مرة في سبتمبر 2025 وتطورت بشكل ملحوظ في أكتوبر 2025، على برمجية خبيثة مسماة SORVEPOTEL وتتميز بسلاسل هجوم جديدة تعتمد على نصوص قابلة للتنفيذ بدل الاعتماد على ملفات ثنائية مبنية على .NET.
تنتشر الحملة تلقائياً عبر حسابات واتساب المخترقة بإرسال أرشيفات مضغوطة إلى جميع جهات الاتصال والمجموعات، ما يولد قدرة انتشار أسية.
في 8 أكتوبر 2025، وثق الباحثون تنزيل ملفات من جلسات واتساب ويب بأسماء تبدأ بـ Orcamento-2025 وتأتي كملفات ZIP خبيثة تحتوي على ملف VBS مشوه باسم Orcamento.vbs يعمل كقارئ تحميل ينفذ أمر PowerShell يحمل ويشغل سكربت tadeu.ps1 مباشرة في الذاكرة، ما يجعل الكشف والتصدي التقليدي أقل فاعلية.
ما يميز SORVEPOTEL بنية قيادية ثنائية القناة غير تقليدية. تعتمد القناة الأساسية على بروتوكولات بريدية IMAP متصلة بحسابات terra.com.br باستخدام بيانات مصادقة مضمنة، ما يسمح للمهاجمين بقراءة أوامر التشغيل من صناديق البريد بشكل دوري. يوفر هذا النمط صموداً عالياً للتحكم حتى عند تعطل خوادم القيادة التقليدية. وتستخدم القناة الثانوية استقصاء HTTP حيث ترسل الأنظمة المصابة طلبات POST كل 5 ثوان مع متغير action=get_commands لاستدعاء أوامر إضافية.
تنفذ البرمجية تعديلات على سجل النظام وإنشاء مهام مجدولة عبر سكربت WinManagers.vbs الموجود في C:\ProgramData\WindowsManager. عند التثبيت تقوم البرمجية بالاستعلام كل 30 دقيقة عن البريد لاستخراج عناوين URL لأنواع متعددة من نقاط الاتصال بما في ذلك نقاط البيانات الأولية وروابط البنية الاحتياطية وروابط تحميل سكربتات PowerShell. يعمل هذا التصميم المتعدد الطبقات على تمكين المشغلين من إيقاف واستئناف ومراقبة نشاط الحملة في الوقت الحقيقي وتحويل الأجهزة المصابة إلى شبكة بوتنت متناسقة.
تضم قائمة أوامر SORVEPOTEL أكثر من 20 أمراً تتراوح وظائفها بين جمع معلومات النظام وإدارة العمليات والتقاط لقطات شاشة وعمليات ملفات وحتى التحكم بالطاقة، ما يمنح المهاجمين قدرة تحكم شاملة تشكل تهديداً كبيراً للمؤسسات المالية والشركات ذات البنية التحتية الحرجة في البرازيل. كما أن قدرة البرمجية على تحميل ملفات أو تعليمات جديدة تعني إمكان توسعة نطاق الأذى إلى سرقة بيانات أو تعطيل عمليات أو نشر برمجيات فدية.
توصي التحليلات بتعزيز وعي المستخدمين ضد الملفات المرسلة عبر واتساب ومراقبة نشاط واتساب ويب، وتفعيل سياسات منع تحميل الملفات من مصادر غير موثوقة. على مستوى الأجهزة يتعين تفعيل قيود تنفيذ السكربتات، منع تشغيل أوامر PowerShell بامتيازات غير مضبوطة، وتطبيق قواعد منع تنفيذ الشيفرات في الذاكرة. كما يجب أن تشمل الإجراءات الحماية من التسلسلات البريدية المشتبه بها، مراقبة نقاط نهاية الشبكة لاكتشاف استقصاء HTTP المتكرر، وفحص المهام المجدولة والتعديلات على السجل للكشف المبكر عن محاولات الإصرار.
تذكر الحملة أن القنوات الاجتماعية والتراسل الفوري أصبحت أدوات فعّالة للمهاجمين لنشر حملات متقدمة، وأن الاعتماد على آليات تنفيذ بلا ملفات وتقنيات اتصال مرنة يزيد من صعوبة الاكتشاف والاحتواء. المؤسسات مطالبة بتشديد ضوابط الحماية على مستوى المستخدم والتطبيق والبنية التحتية، مع تحديث سياسات الحماية والبنية الاحتياطية والاستجابة للحوادث لمواجهة تهديدات متعددة الناقلات مثل SORVEPOTEL.
