O Brasil enfrenta um aumento nos ataques de worms no WhatsApp visando aplicativos de Cripto e bancários.

Uma nova campanha de worm e trojan baseada no WhatsApp no Brasil está comprometendo contas de conta e carteiras de criptomoeda através de um cluster de malware em rápida disseminação denominado Eternidade.

Pesquisadores Identificam Nova Ameaça em Múltiplas Etapas

Os usuários de criptomoedas no Brasil estão sendo alertados sobre uma operação de malware emergente que utiliza o sequestro do WhatsApp para espalhar um trojan bancário projetado para coletar credenciais financeiras. Pesquisadores do Trustwave SpiderLabs divulgaram que a campanha gira em torno de um ladrão recém-identificado conhecido como Eternidade, um malware baseado em Delphi capaz de atualizar dinamicamente sua infraestrutura de comando e controle e coletar dados de forma furtiva das vítimas.

Os pesquisadores Nathaniel Morales, John Basmayor e Nikita Kazymirskyi observaram que o WhatsApp continua a ser central para o ecossistema cibernético criminoso do Brasil, afirmando,

“O WhatsApp continua a ser um dos canais de comunicação mais explorados no ecossistema de cibercrime do Brasil. Nos últimos dois anos, os agentes de ameaça aperfeiçoaram as suas táticas, utilizando a imensa popularidade da plataforma para distribuir trojans bancários e malware de roubo de informações.”

Como Funciona a Cadeia de Infeção

De acordo com a equipa de pesquisa, a operação em curso começa com mensagens de engenharia social entregues através do WhatsApp. Estas iscas imitam formatos familiares, como notificações de entrega, grupos de investimento fraudulentos e “programas governamentais falsos”, para enganar os destinatários a clicar em links maliciosos.

Uma vez clicado, o link aciona a implementação de um verme de sequestro e do trojan bancário Eternidade. O verme imediatamente toma controle da conta de WhatsApp da vítima, extrai a lista de contatos e direciona seletivamente contatos individuais usando “filtragem inteligente”, contornando grupos de negócios para maximizar a probabilidade de envolvimento pessoal.

Simultaneamente, um ficheiro trojan é descarregado silenciosamente no dispositivo. Este componente instala o Eternidade Stealer em segundo plano, permitindo que os atacantes procurem por credenciais ligadas a grandes bancos brasileiros, plataformas fintech e exchanges e carteiras de criptomoeda.

Comando e Controle Adaptativo via Gmail

Uma das características mais cruciais da campanha é o seu método não convencional para receber comandos atualizados. Em vez de confiar em endereços de servidor estáticos, a Eternidade utiliza credenciais hardcoded para fazer login numa conta do Gmail via IMAP. Isso permite que os atacantes enviem instruções atualizadas simplesmente enviando um e-mail para a conta controlada.

Os pesquisadores destacaram esta técnica em seu relatório:

“Uma característica notável deste malware é que ele usa credenciais codificadas para fazer login em sua conta de email, a partir da qual recupera seu servidor C2. É uma maneira muito inteligente de atualizar seu C2, manter persistência e evadir detecções ou interrupções em um nível de rede. Se o malware não conseguir se conectar à conta de email, ele usa um endereço C2 de fallback codificado.”

Atividade de Malware Relacionada

A operação Eternidade segue de perto outra onda de malware focada no Brasil conhecida como Water Saci, que usou um worm do WhatsApp Web chamado SORVEPOTEL para distribuir o Maverick, um trojan bancário baseado em .NET ligado a variantes anteriores de malware Coyote. Esses incidentes sublinham uma tendência persistente na região: o uso do WhatsApp como vetor principal e a contínua dependência de ferramentas baseadas em Delphi para o desenvolvimento de malware.

Recomendações de Segurança

Os especialistas em segurança estão a aconselhar os utilizadores do WhatsApp a evitarem clicar em links desconhecidos, mesmo quando enviados por contactos de confiança. É recomendado confirmar mensagens suspeitas através de canais de comunicação alternativos, especialmente quando pouco contexto acompanha o link.

Aviso Legal: Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser utilizado como aconselhamento legal, fiscal, de investimento, financeiro ou de outro tipo.