Brésil avertit les utilisateurs de crypto de la nouvelle campagne de malware WhatsApp déployant un ver de piratage

Source : CoinEdition Titre original : Le Brésil alerte les utilisateurs de crypto à propos d’une nouvelle campagne de malware WhatsApp déployant un ver de hijacking Lien original : https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Les autorités brésiliennes et les analystes en cybersécurité ont lancé l’alarme concernant une campagne de malware à propagation rapide utilisant des messages WhatsApp pour cibler les utilisateurs de crypto via un hijacking automatisé de comptes et un cheval de Troie bancaire sophistiqué.

L’opération, identifiée par les chercheurs de Trustwave SpiderLabs, relie un ver propagé via WhatsApp à un outil de menace connu sous le nom d’Eternidade Stealer, permettant aux attaquants d’obtenir des identifiants bancaires, des accès aux exchanges de crypto, et d’autres informations financières sensibles à partir de dispositifs infectés.

Les chercheurs suivent l’activité coordonnée via des leurres basés sur WhatsApp

Selon Nathaniel Morales, John Basmayor et Nikita Kazymirskyi, chercheurs chez SpiderLabs, la campagne repose sur des messages d’ingénierie sociale qui imitent des notices gouvernementales, des mises à jour de livraison, des groupes d’investissement frauduleux, ou même des contacts d’amis.

Une fois qu’une victime ouvre le lien malveillant, le ver et le cheval de Troie bancaire s’installent simultanément. Le ver saisit immédiatement le compte WhatsApp de la victime, extrait la liste de contacts, et filtre les groupes ou numéros professionnels pour privilégier un ciblage un-à-un.

Pendant ce processus, le cheval de Troie associé délivre la charge utile Eternidade Stealer. Le malware scanne ensuite le système à la recherche d’identifiants liés aux plateformes bancaires brésiliennes, comptes fintech, et services liés à la crypto, y compris portefeuilles et exchanges. Les chercheurs soutiennent que cette structure en deux étapes est devenue de plus en plus courante dans l’écosystème de la cybercriminalité au Brésil, qui a déjà utilisé WhatsApp dans des campagnes passées, telles que Water Saci, s’étendant sur 2024 et 2025.

Le malware utilise la récupération de commandes via Gmail pour échapper aux takedowns

Les enquêteurs rapportent que le malware évite les coupures de réseau traditionnelles en utilisant un compte Gmail préconfiguré pour recevoir des commandes mises à jour. Au lieu de dépendre d’un serveur C2 fixe, il se connecte à une adresse email codée en dur, vérifie les instructions les plus récentes, et ne revient à un domaine C2 statique que si l’email est inaccessible. SpiderLabs a qualifié cette méthode de moyen de maintenir la persistance tout en réduisant la probabilité d’être détecté.

Les données du panneau de redirection révèlent une empreinte mondiale

Lors de la cartographie de l’infrastructure, les analystes ont relié le domaine initial à un serveur hébergeant plusieurs panneaux d’acteurs malveillants, dont un système de redirection utilisé pour suivre les connexions entrantes. Sur les 453 visites enregistrées, 451 ont été bloquées en raison de restrictions géographiques, ne permettant l’accès qu’au Brésil et à l’Argentine.

Cependant, les données de logs montrent 454 tentatives de communication dans 38 pays, notamment les États-Unis (196), les Pays-Bas (37), l’Allemagne (32), le Royaume-Uni (23), et la France (19). Seules trois interactions provenaient du Brésil.

Le panneau a également enregistré des statistiques sur les OS indiquant que 40 % des connexions provenaient de systèmes non identifiés, suivis par Windows (25%), macOS (21%), Linux (10%), et Android (4%). Les enquêteurs ont indiqué que ces données montrent que la majorité des interactions provenaient d’environnements de bureau.