Le Brésil fait face à une augmentation des attaques de vers WhatsApp ciblant les applications Crypto et bancaires.

Une nouvelle campagne de ver et de cheval de Troie basée sur WhatsApp identifiée au Brésil compromet les portefeuilles cryptographiques et les comptes bancaires par le biais d'un cluster de malware en pleine expansion appelé Eternidade.

Des chercheurs identifient une nouvelle menace multi-niveaux

Les utilisateurs de crypto-monnaie brésiliens sont avertis d'une opération de malware émergente qui exploite le détournement de WhatsApp pour propager un cheval de Troie bancaire conçu pour récolter des informations financières. Les chercheurs de Trustwave SpiderLabs ont révélé que la campagne tourne autour d'un voleur nouvellement identifié connu sous le nom d'Eternidade, un malware basé sur Delphi capable de mettre à jour dynamiquement son infrastructure de commandement et de contrôle et de collecter discrètement des données auprès des victimes.

Les chercheurs Nathaniel Morales, John Basmayor et Nikita Kazymirskyi ont noté que WhatsApp reste central dans l'écosystème cybercriminel du Brésil, déclarant,

« WhatsApp continue d'être l'un des canaux de communication les plus exploités dans l'écosystème de la cybercriminalité au Brésil. Au cours des deux dernières années, les acteurs malveillants ont affiné leurs tactiques, utilisant l'immense popularité de la plateforme pour distribuer des chevaux de Troie bancaires et des malwares de vol d'informations. »

Comment fonctionne la chaîne d'infection

Selon l'équipe de recherche, l'opération en cours commence par des messages d'ingénierie sociale envoyés via WhatsApp. Ces leurres imitent des formats familiers, tels que des notifications de livraison, des groupes d'investissement frauduleux et des “faux programmes gouvernementaux”, pour tromper les destinataires en les incitant à cliquer sur des liens malveillants.

Une fois cliqué, le lien déclenche le déploiement à la fois d'un ver de détournement et du cheval de Troie bancaire Eternidade. Le ver prend immédiatement le contrôle du compte WhatsApp de la victime, extrait la liste de contacts et cible sélectivement des contacts individuels en utilisant un « filtrage intelligent », contournant les groupes d'affaires pour maximiser la probabilité d'engagement personnel.

Simultanément, un fichier trojan est silencieusement téléchargé sur l'appareil. Ce composant installe le Eternidade Stealer en arrière-plan, permettant aux attaquants de scanner les identifiants liés aux principales banques brésiliennes, aux plateformes fintech et aux échanges et portefeuilles de cryptomonnaies.

Commande et contrôle adaptatif via Gmail

L'une des caractéristiques les plus cruciales de la campagne est sa méthode non conventionnelle pour recevoir des commandes mises à jour. Au lieu de s'appuyer sur des adresses de serveur statiques, Eternidade utilise des identifiants codés en dur pour se connecter à un compte Gmail via IMAP. Cela permet aux attaquants d'envoyer des instructions mises à jour simplement en envoyant un e-mail au compte contrôlé.

Les chercheurs ont souligné cette technique dans leur rapport :

« Une caractéristique notable de ce malware est qu'il utilise des identifiants codés en dur pour se connecter à son compte email, à partir duquel il récupère son serveur C2. C'est une manière très astucieuse de mettre à jour son C2, de maintenir sa persistance et d'échapper aux détections ou aux neutralisations au niveau du réseau. Si le malware ne peut pas se connecter au compte email, il utilise une adresse C2 de secours codée en dur. »

Activité de malware associée

L'opération Eternidade suit de près une autre vague de malware axée sur le Brésil connue sous le nom de Water Saci, qui a utilisé un ver WhatsApp Web appelé SORVEPOTEL pour distribuer Maverick, un cheval de Troie bancaire basé sur .NET lié à des variantes antérieures de malware Coyote. Ces incidents soulignent une tendance persistante dans la région : l'utilisation de WhatsApp comme vecteur principal et la dépendance durable aux outils basés sur Delphi pour le développement de malware.

Recommandations de sécurité

Les experts en sécurité conseillent aux utilisateurs de WhatsApp d'éviter de cliquer sur des liens inconnus, même s'ils sont envoyés par des contacts de confiance. Il est recommandé de confirmer les messages suspects par d'autres canaux de communication, en particulier lorsque peu de contexte accompagne le lien.

Avertissement : Cet article est fourni à titre d'information uniquement. Il n'est pas offert ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.