Sorvepotel è il nuovo virus che sfrutta WhatsApp: come funziona, perché è pericoloso e come proteggerti dalle infezioni
Ogni volta che pensiamo di aver capito come difenderci, arriva un nuovo attacco che ci ricorda quanto sia fragile l’equilibrio tra sicurezza e comodità digitale. Le chat, le app di messaggistica, i social sono ormai diventati l’estensione delle nostre giornate, dove passiamo più tempo e dove, inevitabilmente, abbassiamo la guardia. Con le chat ci scambiamo di tutto — foto, file di lavoro, documenti personali — e ci fidiamo, pensando muoverci in uno spazio “sicuro”. È proprio questa fiducia, però, il punto più debole che gli hacker continuano a sfruttare.
Negli ultimi mesi, un nuovo pericolo ha iniziato a circolare in rete: si chiama Sorvepotel ed è un virus che ha preso di mira WhatsApp Web, la versione per computer della celebre app di messaggistica. Non è un caso. Gli hacker sanno bene che aprire un file sul telefono è più complicato, ma sul computer, dove si scaricano documenti e allegati con disinvoltura, e contano proprio su questa fiducia.
Che cos’è Sorvepotel?
Il copione è sempre lo stesso: la tecnologia fa un passo avanti per rendere la vita più semplice — come accedere alle chat da un computer — e subito dopo qualcuno trova il modo di usarla contro di noi.
Il Sorvepotel è la dimostrazione più recente di quanto basti un attimo per far crollare l’intera impalcatura di fiducia digitale su cui si regge la comunicazione moderna. Non si tratta più solo di furti di dati o truffe economiche: oggi i malware si comportano come veri organismi viventi, capaci di replicarsi e diffondersi da soli, sfruttando i nostri contatti e le nostre abitudini online.
WhatsApp, con i suoi oltre due miliardi di utenti nel mondo, rappresenta un terreno perfetto per questo tipo di esperimenti. Basta un file inviato da un amico, un collega o un parente per innescare la catena. E la vittima, nella maggior parte dei casi, non ha la minima idea di ciò che sta accadendo dietro lo schermo.
Come si diffonde?
Sorvepotel non è un virus nel senso classico del termine. È un malware “self-propagating”, cioè un software malevolo che si diffonde da solo, senza bisogno di interventi diretti dell’hacker. La sua forza sta proprio nella capacità di sfruttare la fiducia tra contatti reali.
Tutto parte da un messaggio ricevuto su WhatsApp o WhatsApp Web, spesso con un file ZIP allegato che, ovviamente, contiene il virus. Il messaggio sembra innocuo, scritto in modo credibile: un documento di lavoro, una ricevuta, un preventivo, una fattura. Dentro l’archivio c’è un collegamento Windows, un file con estensione .lnk, che si presenta come un documento ma in realtà lancia uno script PowerShell. Da quel momento, il malware si installa nel sistema e scarica da internet il suo payload, cioè il codice operativo.
Una volta attivo, Sorvepotel controlla se sul computer è aperta una sessione di WhatsApp Web. Se la trova, comincia a usarla per inviare lo stesso file infetto a tutti i contatti e gruppi dell’utente. È un meccanismo a catena: ogni persona che apre il file diventa un nuovo punto di partenza per l’infezione.
Chi è il bersaglio ideale?
Le prime analisi arrivano dai laboratori di Trend Micro e Kudelski Security, che hanno documentato centinaia di casi in Brasile, paese dove l’app di messaggistica è praticamente uno standard nazionale. Qui il virus si è diffuso in modo impressionante su Whatsapp web, colpendo non solo utenti privati ma anche piccole imprese e uffici pubblici (fonte Trend Micro). Ad oggi, sembra che, in pochissimo tempo, siano gia 477 le reti infettate.
Il fatto che nel messaggio si consigli l’apertura sul desktop del pc, delle zip – contenenti il malware – fa pensare che il vero obiettivo degli hacker siano le aziende e i professionisti. A dimostrazione di questa ipotesi, in Brasile le linee più colpite sono proprio quelle di settori aziendali pubblici e privati (Fonte The Hackers News).
L’aspetto più inquietante è che l’utente non si accorge di nulla. Tutto avviene in background: i messaggi partono automaticamente, e la persona infetta può continuare a usare il computer e WhatsApp come se niente fosse. Nel frattempo, il virus continua a moltiplicarsi, trasformando ogni vittima in un inconsapevole “agente di distribuzione”.
La rapidità con cui si diffonde ricorda un virus biologico. Ogni nuovo contatto infetto diventa un potenziale vettore, e la propagazione cresce in modo esponenziale. È un modello che gli hacker conoscono bene e che, purtroppo, funziona. Anche se per ora i casi confermati sono quasi tutti in America Latina, gli esperti non escludono che versioni adattate possano comparire in Europa nei prossimi mesi, magari con messaggi scritti in altre lingue e file “personalizzati” per contesti locali.
Perché è pericoloso?
All’apparenza, Sorvepotel potrebbe sembrare un vecchio malware che si limita a diffondersi. In realtà, è molto di più. Gli analisti sospettano che questa prima ondata sia solo una fase iniziale, una sorta di test per un’infezione più ampia. Una volta dentro un sistema, infatti, il virus può scaricare nuovi moduli in grado di spiare la navigazione web, rubare credenziali o creare falsi siti bancari per truffare gli utenti.
Ma anche senza arrivare a questi scenari, i danni sono già significativi. WhatsApp, per esempio, potrebbe decidere bloccare o sospendere un account che invia decine di messaggi identici in poco tempo, interpretandolo come spam. È quello che è successo a diversi utenti brasiliani che si sono trovati improvvisamente tagliati fuori dal proprio profilo, senza sapere perché.
Il vero pericolo, però, è sociale. Come tutti i phishing, anche Sorvepotel sfrutta la debolezza umana: in questo caso, poiché sfrutta la messaggistica di whatsapp, conta sulla fiducia che abbiamo nei file inviati da un collega, da un amico a, a volte, dalle stesse aziende o clienti con cui lavoriamo. È davvero facile aprire un file, una cartella stampa o un progetto in zip se questo ci arriva da qualcuno che conosciamo e difficilmente pensiamo che possa essere un attacco informatico. Sorvepotel non rompe le difese tecnologiche, ma quelle psicologiche e si alimenta della rete di relazioni personali: per questo, è difficilissimo da fermare.
Cosa possiamo fare per difenderci?
La prima difesa, come sempre, non è istallare un buon antivirus, ma la prudenza. Se si riceve un file ZIP su WhatsApp, prima di aprirlo, è sempre meglio chiedere al mittente se ha inviato qualcosa e se è affidabile.
Un’altra buona difesa è quella di disconnettere regolarmente le sessioni di WhatsApp Web, soprattutto su computer condivisi o aziendali, e, soprattutto, disattivare il download automatico di file e media.
Le aziende, in particolare, dovrebbero trattare le app di messaggistica come veri strumenti di lavoro e non come semplici chat personali. Questo significa applicare le stesse regole di sicurezza valide per l’e-mail: formazione del personale, controllo degli allegati e monitoraggio delle reti.
Infine, serve un cambio culturale. Per anni ci hanno detto di non cliccare su link sospetti nelle e-mail. Ora dobbiamo imparare a fare lo stesso con le chat, perchè il virus potrebbe nascondersi anche su Whatsapp.
Foto copertina di Webster2703 da Pixabay
Potrebbe interessarti anche:
Paragon e il suo spyware spiano utenti su whatsapp
Spoofing telefonico: cos’è e cosa devi sapere
Navigare in internet è davvero gratuito? Ecco come paghiamo le nostre ricerche su Google
