ブラジル、暗号通貨ユーザーに新しいWhatsAppマルウェアキャンペーンのハイジャッキングワーム展開を警告

Source: CoinEdition Original Title: Brazil Alerts Crypto Users to New WhatsApp Malware Campaign Deploying Hijacking Worm Original Link: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ ブラジル当局とサイバーセキュリティ分析者は、WhatsAppメッセージを利用して暗号通貨ユーザーを標的とし、自動アカウント乗っ取りと高度な銀行トロイの木馬を展開する急速に拡散するマルウェアキャンペーンに警告を発しています。

この作戦は、Trustwave SpiderLabsの研究者によって特定され、WhatsAppで拡散されるワームと、Eternidade Stealerとして知られる脅威ツールを結びつけています。攻撃者はこれにより、感染したデバイスから銀行の資格情報、暗号交換のログイン情報、その他の機密性の高い金融情報を取得します。

研究者がWhatsAppを利用した誘引を通じて協調行動を追跡

SpiderLabsの研究者ナサニエル・モラレス、ジョン・バスマヨール、ニキータ・カジミルスキーによると、このキャンペーンは、政府通知、配達更新、偽の投資グループ、さらには友人からの連絡を模したソーシャルエンジニアリングメッセージに依存しています。

被害者が悪意のあるリンクを開くと、ワームと銀行トロイの木馬の両方が同時にインストールされます。ワームは直ちに被害者のWhatsAppアカウントを乗っ取り、連絡先リストを抽出し、グループやビジネス番号を除外して1対1のターゲティングを優先します。

この過程で、付随するトロイの木馬がEternidade Stealerのペイロードを配信します。マルウェアはその後、ブラジルの銀行プラットフォーム、フィンテックアカウント、暗号関連サービス（ウォレットや取引所を含む）にリンクされた資格情報をシステム内でスキャンします。研究者は、この二段階構造がブラジルのサイバー犯罪エコシステムでますます一般的になっていると指摘しており、過去のキャンペーン（Water Saciが2024年と2025年にわたって展開）でもWhatsAppが利用されてきました。

マルウェアはGmailベースのコマンド取得を利用して検挙を回避

調査官は、マルウェアが従来のネットワーク停止を避けるために、事前設定されたGmailアカウントを利用して最新コマンドを受信していると報告しています。固定されたコマンド＆コントロール（C2）サーバに依存するのではなく、ハードコーディングされたメールアドレスにログインし、最新の指示を確認し、メールにアクセスできない場合のみ静的なC2ドメインにフォールバックします。SpiderLabsはこの方法を、持続性を維持しつつ検出の可能性を低減させる手段と呼んでいます。

リダイレクターパネルのデータからグローバルな活動範囲が判明

インフラストラクチャのマッピング中、分析者は最初のドメインを複数の脅威アクターのパネルをホストするサーバにリンクさせ、その中には着信接続を追跡するためのリダイレクタシステムも含まれていました。ログされた453回のアクセスのうち、451回は地理的制限によりブロックされ、ブラジルとアルゼンチンのみ許可されました。

しかし、ログデータは、米国(196)、オランダ(37)、ドイツ(32)、イギリス(23)、フランス(19)を含む38か国からの通信試行が454回あったことを示しています。ブラジルからの通信はわずか3回です。

また、パネルはOSの統計も記録しており、接続の40%が特定されていないシステムから、次いでWindows(25%)、macOS(21%)、Linux(10%)、Android(4%)からのものであることを示しています。調査官は、このデータはほとんどのインタラクションがデスクトップ環境から行われていることを示していると述べています。