Brasil Menghadapi Lonjakan Serangan Cacing WhatsApp yang Menargetkan Aplikasi Kripto dan Perbankan

Kampanye worm-dan-trojan berbasis WhatsApp yang baru diidentifikasi di Brasil sedang mengkompromikan akun crypto dan akun bank melalui cluster malware yang menyebar dengan cepat yang disebut Eternidade.

Peneliti Mengidentifikasi Ancaman Multi-Tahap Baru

Pengguna kripto Brasil diperingatkan tentang operasi malware yang sedang muncul yang memanfaatkan pembajakan WhatsApp untuk menyebarkan trojan perbankan yang dirancang untuk mengumpulkan kredensial keuangan. Peneliti Trustwave SpiderLabs telah mengungkapkan bahwa kampanye ini berputar di sekitar pencuri yang baru diidentifikasi yang dikenal sebagai Eternidade, malware berbasis Delphi yang mampu memperbarui infrastruktur perintah dan kendalinya secara dinamis serta secara diam-diam mengumpulkan data dari korban.

Peneliti Nathaniel Morales, John Basmayor, dan Nikita Kazymirskyi mencatat bahwa WhatsApp tetap menjadi pusat ekosistem siber kriminal di Brasil, menyatakan,

“WhatsApp terus menjadi salah satu saluran komunikasi yang paling dieksploitasi dalam ekosistem kejahatan siber di Brasil. Selama dua tahun terakhir, pelaku ancaman telah menyempurnakan taktik mereka, menggunakan popularitas besar platform ini untuk mendistribusikan trojan perbankan dan malware pencuri informasi.”

Bagaimana Rantai Infeksi Bekerja

Menurut tim penelitian, operasi yang sedang berlangsung dimulai dengan pesan rekayasa sosial yang disampaikan melalui WhatsApp. Pancingan ini meniru format yang dikenal, seperti pemberitahuan pengiriman, grup investasi yang menipu, dan “program pemerintah palsu”, untuk menipu penerima agar mengklik tautan berbahaya.

Setelah diklik, tautan tersebut memicu penyebaran baik worm perampasan maupun trojan perbankan Eternidade. Worm tersebut segera mengambil alih akun WhatsApp korban, mengekstrak daftar kontak, dan secara selektif menargetkan kontak individu menggunakan “filtering cerdas,” melewati grup bisnis untuk memaksimalkan kemungkinan keterlibatan pribadi.

Secara bersamaan, sebuah file trojan diunduh secara diam-diam di perangkat. Komponen ini menginstal Eternidade Stealer di latar belakang, memungkinkan penyerang untuk memindai kredensial yang terikat dengan bank-bank besar Brasil, platform fintech, serta bursa dan dompet cryptocurrency.

Perintah dan Kontrol Adaptif melalui Gmail

Salah satu sifat paling krusial dari kampanye ini adalah metode tidak konvensionalnya untuk menerima perintah yang diperbarui. Alih-alih bergantung pada alamat server statis, Eternidade menggunakan kredensial yang sudah diprogram untuk masuk ke akun Gmail melalui IMAP. Ini memungkinkan para penyerang untuk mengirimkan instruksi yang diperbarui hanya dengan mengirim email ke akun yang dikendalikan.

Para peneliti menyoroti teknik ini dalam laporan mereka:

“Salah satu fitur mencolok dari malware ini adalah bahwa ia menggunakan kredensial yang sudah ditanamkan untuk masuk ke akun emailnya, dari mana ia mengambil server C2-nya. Ini adalah cara yang sangat cerdas untuk memperbarui C2-nya, mempertahankan keberlangsungan, dan menghindari deteksi atau penutupan pada tingkat jaringan. Jika malware tidak dapat terhubung ke akun email, ia menggunakan alamat C2 cadangan yang sudah ditanamkan.”

Aktivitas Malware Terkait

Operasi Eternidade mengikuti dengan dekat gelombang malware yang berfokus di Brasil lainnya yang dikenal sebagai Water Saci, yang menggunakan worm WhatsApp Web bernama SORVEPOTEL untuk mendistribusikan Maverick, trojan perbankan berbasis .NET yang terkait dengan varian malware Coyote sebelumnya. Insiden-insiden ini menyoroti tren yang terus-menerus di wilayah tersebut: penggunaan WhatsApp sebagai vektor utama dan ketergantungan yang terus berlanjut pada alat berbasis Delphi untuk pengembangan malware.

Rekomendasi Keamanan

Para ahli keamanan menyarankan pengguna WhatsApp untuk menghindari mengklik tautan yang tidak dikenal, bahkan jika dikirim oleh kontak yang terpercaya. Mengonfirmasi pesan mencurigakan melalui saluran komunikasi alternatif sangat dianjurkan, terutama ketika konteks yang menyertai tautan tersebut minim.

Pemberitahuan: Artikel ini disediakan hanya untuk tujuan informasi. Ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.