Бразилія стикається з хвилею атак черв'яків WhatsApp, що націлені на Крипто та банківські додатки

Нещодавно виявлена кампанія черв'яків і троянів на базі WhatsApp у Бразилії компрометує криптоакаунти та банківські акаунти через швидко поширюваний кластер шкідливих програм, названий Eternidade.

Дослідники виявили нову багатоступеневу загрозу

Бразильські криптовалютні користувачі отримали попередження про нову операцію зі шкідливими програмами, яка використовує викрадення WhatsApp для поширення банківського трояна, призначеного для збору фінансових облікових даних. Дослідники Trustwave SpiderLabs повідомили, що кампанія обертається навколо новоідентифікованого крадія, відомого як Eternidade, шкідливої програми на базі Delphi, здатної динамічно оновлювати свою інфраструктуру командного управління та непомітно збирати дані з жертв.

Дослідники Натаніель Моралес, Джон Басмайор і Нікіта Казимирський зазначили, що WhatsApp залишається центральним елементом кіберзлочинного екосистеми Бразилії, стверджуючи,

“WhatsApp залишається одним з найбільш експлуатованих каналів зв'язку в екосистемі кіберзлочинності Бразилії. Протягом останніх двох років зловмисники вдосконалили свої тактики, використовуючи величезну популярність платформи для розповсюдження банківських троянів та шкідливих програм, що крадуть інформацію.”

Як працює ланцюг інфекції

Згідно з дослідницькою групою, поточна операція починається з повідомлень соціальної інженерії, які надсилаються через WhatsApp. Ці приманки імітують знайомі формати, такі як сповіщення про доставку, шахрайські інвестиційні групи та «фальшиві державні програми», щоб підманути отримувачів клікнути на шкідливі посилання.

Після натискання на посилання, воно активує розгортання як хробака-викрадача, так і тройника Eternidade. Хробак негайно захоплює контроль над акаунтом WhatsApp жертви, витягує список контактів і вибірково націлюється на окремі контакти, використовуючи “розумну фільтрацію”, обходячи бізнес-групи для максимізації ймовірності особистої взаємодії.

Одночасно, на пристрій безшумно завантажується троянський файл. Цей компонент встановлює Eternidade Stealer у фоновому режимі, що дозволяє зловмисникам сканувати облікові дані, пов'язані з основними бразильськими банками, фінансовими платформами та криптовалютними біржами і гаманцями.

Адаптивне управління та контроль через Gmail

Однією з найбільш важливих рис кампанії є її нетрадиційний метод отримання оновлених команд. Замість того, щоб покладатися на статичні адреси серверів, Eternidade використовує закодовані облікові дані для входу в акаунт Gmail через IMAP. Це дозволяє зловмисникам надсилати оновлені інструкції просто електронною поштою на контрольований акаунт.

Дослідники підкреслили цю техніку у своєму звіті:

“Однією з помітних особливостей цих шкідливих програм є те, що вони використовують захардкожені облікові дані для входу до свого електронного акаунту, з якого отримують свій C2 сервер. Це дуже розумний спосіб оновлення свого C2, підтримання стійкості та уникнення виявлення або блокування на мережевому рівні. Якщо шкідливі програми не можуть підключитися до електронного акаунту, вони використовують захардкожену резервну адресу C2.”

Пов'язана шкідливі програми активність

Операція Eternidade йде слідом за ще однією хвилею шкідливих програм, що зосереджена на Бразилії, відомою як Water Saci, яка використовувала черв'яка WhatsApp Web під назвою SORVEPOTEL для розповсюдження Maverick, троянської програми для банків, основаної на .NET, пов'язаної з раніше виявленими варіантами шкідливих програм Coyote. Ці інциденти підкреслюють постійну тенденцію в регіоні: використання WhatsApp як основного вектора та тривалу залежність від інструментів на базі Delphi для розробки шкідливих програм.

Рекомендації щодо безпеки

Експерти з безпеки радять користувачам WhatsApp уникати натискання на незнайомі посилання, навіть якщо їх надсилають довірені контакти. Рекомендується підтверджувати підозрілі повідомлення через альтернативні канали зв'язку, особливо коли до посилання додається мало контексту.

Відмова від відповідальності: Ця стаття надається лише для інформаційних цілей. Вона не пропонується і не призначена для використання як юридична, податкова, інвестиційна, фінансова або інша порада.