Бразилия предупреждает пользователей криптовалют о новой кампании вредоносного ПО в WhatsApp, развертывающейся как вредоносный червь

Источник: CoinEdition Оригинальное название: Brazil Alerts Crypto Users to New WhatsApp Malware Campaign Deploying Hijacking Worm Оригинальная ссылка: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Бразильские власти и аналитики кибербезопасности предупредили о быстром распространении вредоносной кампании, которая использует сообщения WhatsApp для атаки на криптовалютных пользователей через автоматизированное захватывание аккаунтов и сложный банковский троян.

Операция, идентифицированная исследователями Trustwave SpiderLabs, связывает червя, распространяемого через WhatsApp, с угрозным инструментом, известным как Eternidade Stealer, что позволяет злоумышленникам получать банковские учетные данные, логины к криптобиржам и другую чувствительную финансовую информацию с зараженных устройств.

Исследователи прослеживают скоординированную активность через приманки на базе WhatsApp

По словам исследователей SpiderLabs Натаниэля Мор áлеса, Джона Басмайора и Никиты Казымира, кампания опирается на социально-инженерные сообщения, имитирующие правительственные уведомления, обновления доставки, мошеннические инвестиционные группы или даже контакты от друзей.

После того как жертва откроет вредоносную ссылку, одновременно устанавливаются как червь, так и банковский троян. Червь немедленно захватывает аккаунт жертвы в WhatsApp, извлекает список контактов и фильтрует группы или бизнес-номера, чтобы сосредоточиться на индивидуальных целях.

Во время этого процесса сопутствующий троян передает полезную нагрузку Eternidade Stealer. Вредоносное ПО затем сканирует систему на наличие учетных данных, связанных с бразильскими банковскими платформами, финтех-аккаунтами и криптовалютными службами, включая кошельки и биржи. Исследователи утверждают, что эта двухступенчатая структура становится все более распространенной в киберпреступной экосистеме Бразилии, которая уже использовала WhatsApp в прошлых кампаниях, таких как Water Saci, охватывающих 2024 и 2025 годы.

Вредоносное ПО использует командный сервер на базе Gmail для уклонения от блокировок

Следователи сообщают, что вредоносное ПО избегает традиционных отключений сети, используя заранее настроенную учетную запись Gmail для получения обновленных команд. Вместо зависимости от фиксированного сервера команд и управления (C2) оно входит в заранее заданный адрес электронной почты, проверяет наличие последних инструкций и при невозможности связаться с ним, использует статический домен C2. SpiderLabs назвали этот метод способом поддерживать устойчивость и одновременно снижать вероятность обнаружения.

Данные панели перенаправления показывают глобальный масштаб

Во время анализа инфраструктуры аналитики связали начальный домен с сервером, хостящим несколько панелей злоумышленников, включая систему перенаправления, используемую для отслеживания входящих соединений. Из 453 зарегистрированных визитов 451 были заблокированы из-за географических ограничений, разрешая доступ только из Бразилии и Аргентины.

Тем не менее, данные логов показали 454 попытки связи из 38 стран, включая США (196), Нидерланды (37), Германию (32), Великобританию (23) и Францию (19). Только три взаимодействия были зафиксированы из Бразилии.

Панель также зафиксировала статистику ОС, согласно которой 40% соединений происходило с неидентифицированных систем, за ней следуют Windows (25%), macOS (21%), Linux (10%) и Android (4%). Исследователи отметили, что большинство взаимодействий происходило с настольных устройств.