Brazil Đối mặt với sự gia tăng các cuộc tấn công sâu worm trên WhatsApp nhắm vào các ứng dụng Tiền điện tử và ngân hàng

Một chiến dịch sâu và trojan dựa trên WhatsApp mới được xác định ở Brazil đang xâm phạm các ví tiền điện tử và tài khoản ngân hàng thông qua một cụm phần mềm độc hại đang lan rộng nhanh chóng được gọi là Eternidade.

Các nhà nghiên cứu xác định mối đe dọa đa giai đoạn mới

Người dùng tiền mã hóa ở Brazil đang được cảnh báo về một hoạt động phần mềm độc hại mới nổi, lợi dụng việc chiếm đoạt WhatsApp để phát tán một trojan ngân hàng được thiết kế để thu thập thông tin tài chính. Các nhà nghiên cứu của Trustwave SpiderLabs đã tiết lộ rằng chiến dịch này xoay quanh một phần mềm độc hại mới được xác định có tên là Eternidade, một phần mềm độc hại dựa trên Delphi có khả năng cập nhật động cơ sở hạ tầng chỉ huy và kiểm soát của nó và thu thập dữ liệu một cách lén lút từ các nạn nhân.

Các nhà nghiên cứu Nathaniel Morales, John Basmayor và Nikita Kazymirskyi đã lưu ý rằng WhatsApp vẫn giữ vai trò trung tâm trong hệ sinh thái tội phạm mạng của Brazil, nói rằng,

“WhatsApp tiếp tục là một trong những kênh giao tiếp bị khai thác nhiều nhất trong hệ sinh thái tội phạm mạng của Brazil. Trong hai năm qua, các tác nhân đe dọa đã tinh chỉnh chiến thuật của họ, sử dụng sự phổ biến to lớn của nền tảng này để phân phối trojan ngân hàng và phần mềm độc hại đánh cắp thông tin.”

Cách mà Chuỗi Lây Nhiễm Hoạt Động

Theo nhóm nghiên cứu, hoạt động đang diễn ra bắt đầu bằng những tin nhắn kỹ thuật xã hội được gửi qua WhatsApp. Những mưu mẹo này giả mạo các định dạng quen thuộc, chẳng hạn như thông báo giao hàng, nhóm đầu tư gian lận và “các chương trình chính phủ giả mạo”, để đánh lừa người nhận nhấp vào các liên kết độc hại.

Khi được nhấp, liên kết sẽ kích hoạt việc triển khai cả một worm chiếm đoạt và trojan ngân hàng Eternidade. Worm ngay lập tức kiểm soát tài khoản WhatsApp của nạn nhân, trích xuất danh bạ và chọn lọc nhắm vào các liên hệ cá nhân bằng cách sử dụng “lọc thông minh”, vượt qua các nhóm doanh nghiệp để tối đa hóa khả năng tương tác cá nhân.

Đồng thời, một tệp trojan được tải xuống một cách âm thầm trên thiết bị. Thành phần này cài đặt Eternidade Stealer ở chế độ nền, cho phép kẻ tấn công quét tìm thông tin đăng nhập liên quan đến các ngân hàng lớn của Brazil, các nền tảng fintech và các sàn giao dịch cũng như ví tiền điện tử.

Lệnh và Kiểm soát Thích ứng qua Gmail

Một trong những đặc điểm quan trọng nhất của chiến dịch là phương pháp không truyền thống để nhận lệnh cập nhật. Thay vì dựa vào địa chỉ máy chủ tĩnh, Eternidade sử dụng thông tin đăng nhập được mã hóa cứng để đăng nhập vào một tài khoản Gmail qua IMAP. Điều này cho phép những kẻ tấn công gửi hướng dẫn cập nhật chỉ bằng cách gửi email đến tài khoản đã được kiểm soát.

Các nhà nghiên cứu đã nhấn mạnh kỹ thuật này trong báo cáo của họ:

“Một đặc điểm đáng chú ý của phần mềm độc hại này là nó sử dụng thông tin đăng nhập đã mã hóa cứng để đăng nhập vào tài khoản email của mình, từ đó nó lấy máy chủ C2 của mình. Đây là một cách rất thông minh để cập nhật C2 của nó, duy trì khả năng tồn tại và tránh bị phát hiện hoặc bị gỡ bỏ ở cấp độ mạng. Nếu phần mềm độc hại không thể kết nối với tài khoản email, nó sẽ sử dụng một địa chỉ C2 dự phòng đã mã hóa cứng.”

Hoạt động phần mềm độc hại liên quan

Chiến dịch Eternidade diễn ra ngay sau một làn sóng phần mềm độc hại khác tập trung vào Brazil được biết đến với tên gọi Water Saci, sử dụng một worm WhatsApp Web có tên SORVEPOTEL để phân phối Maverick, một trojan ngân hàng dựa trên .NET liên quan đến các biến thể phần mềm độc hại Coyote trước đó. Những sự cố này nhấn mạnh một xu hướng dai dẳng trong khu vực: việc sử dụng WhatsApp như một vectơ chính và sự phụ thuộc lâu dài vào các công cụ dựa trên Delphi cho phát triển phần mềm độc hại.

Khuyến nghị an toàn

Các chuyên gia bảo mật đang khuyến cáo người dùng WhatsApp không nên nhấp vào các liên kết không quen thuộc, ngay cả khi được gửi từ những liên hệ đáng tin cậy. Việc xác nhận các tin nhắn nghi ngờ qua các kênh giao tiếp thay thế được khuyến nghị, đặc biệt khi có ít bối cảnh đi kèm với liên kết.

Thông báo: Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng như tư vấn pháp lý, thuế, đầu tư, tài chính hoặc các loại tư vấn khác.