Бразилія попереджає користувачів криптовалют про нову кампанію шкідливого програмного забезпечення для WhatsApp, що використовує хіруючий черв’як

Джерело: CoinEdition Оригінальна назва: Бразилія попереджає користувачів крипто про нову кампанію з malware у WhatsApp, яка використовує хіжацький черв’як Оригінальне посилання: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Бразильські влади та аналітики кібербезпеки підняли тривогу щодо швидко поширюваної кампанії з malware, яка використовує повідомлення WhatsApp для цілеспрямованого нападу на криптокористувачів через автоматизоване захоплення акаунтів та складний банківський троян.

Операція, ідентифікована дослідниками Trustwave SpiderLabs, пов’язує черв’яка, поширеного через WhatsApp, із загрозовим інструментом відомим як Eternidade Stealer, що дозволяє зловмисникам отримувати банківські дані, логіни для криптобірж та іншу чутливу фінансову інформацію з інфікованих пристроїв.

Дослідники простежують скоординовану діяльність через заманювання на основі WhatsApp

За словами дослідників SpiderLabs Натаніеля Моралеса, Джона Басмайора та Нікіти Казимирського, кампанія базується на соціальній інженерії повідомлень, які імітують урядові повідомлення, оновлення доставки, фальшиві інвестиційні групи або навіть контакти від друзів.

Якщо жертва відкриває шкідливе посилання, одночасно встановлюються як черв’як, так і банківський троян. Черв’як негайно захоплює акаунт у WhatsApp жертви, витягує список контактів і відфільтровує групи або бізнес-номери, щоб зосередитися на цільових особах один-на-один.

Під час цього процесу супровідний троян доставляє payload Eternidade Stealer. Зловмисне програмне забезпечення потім сканує систему на предмет облікових даних, пов’язаних із бразильськими банківськими платформами, фінтех-акаунтами та сервісами, що стосуються криптовалют, включаючи гаманці та біржі. Дослідники стверджують, що ця структура з двома етапами стала дедалі поширенішою в кіберприродній екосистемі Бразилії, яка вже використовувала WhatsApp для минулих кампаній, таких як Water Saci, у 2024 та 2025 роках.

malware використовує командний отримувач Gmail для ухилення від блокувань

Розслідувачі повідомляють, що malware уникає традиційних зупинок мережі, використовуючи заздалегідь налаштований обліковий запис Gmail для отримання оновлених команд. Замість залежності від фіксованого сервера команд і контролю (C2) він входить у вказану електронну пошту, перевіряє останні інструкції та повертається до статичного домену C2 лише якщо електронна пошта недоступна. SpiderLabs назвали цей метод способом збереження стійкості при одночасному зменшенні ймовірності виявлення.

Дані панелі редіректорів демонструють глобальний слід

Під час картування інфраструктури аналітики пов’язали початковий домен із сервером, що хостить кілька панелей загрозливих акторів, включаючи систему Redirector, яка використовується для відстеження вхідних підключень. З 453 зареєстрованих відвідувань 451 були заблоковані через географічні обмеження, дозволяючи доступ лише з Бразилії та Аргентини.

Однак дані логів показали 454 спроби зв’язку з 38 країнами, включаючи Сполучені Штати (196), Нідерланди (37), Німеччину (32), Велику Британію (23) та Францію (19). Тільки три взаємодії були з Бразилії.

Панель також зафіксувала статистику ОС, згідно з якою 40% з’єднань походили з невідомих систем, далі йдуть Windows (25%), macOS (21%), Linux (10%) та Android (4%). Дослідники заявили, що ці дані свідчать про те, що більшість взаємодій відбувалася з настільних систем.