Исследовательская группа SpiderLabs компании Trustwave выявила масштабную кибератаку в Бразилии, где злоумышленники используют мессенджер WhatsApp для распространения вредоносного программного обеспечения, нацеленного на криптокошельки и банковские приложения. Кампания включает двухэтапную атаку с использованием самораспространяющегося червя и банковского трояна Eternidade Stealer, который способен незаметно извлекать конфиденциальные данные, включая логины, финансовую информацию и приватные ключи.
Злоумышленники применяют сложные схемы социальной инженерии, рассылая сообщения о «фиктивных государственных программах, уведомлениях о доставке и мошеннических инвестиционных группах». При переходе по ссылке в WhatsApp запускается автоматическая последовательность действий: сессия мессенджера перехватывается, в фоновом режиме устанавливается MSI-инсталлятор, а затем активируется стилер, который сканирует устройство на наличие приложений таких платформ, как Bradesco, BTG Pactual, Binance, Coinbase, MetaMask и Trust Wallet.
Особую опасность представляет способность червя получать доступ к списку контактов жертвы, что позволяет ему распространяться дальше. Для уклонения от обнаружения вредоносная программа использует захардкоденные учетные данные для входа в управляемый оператором Gmail-аккаунт, откуда она получает команды через IMAP over SSL. Это позволяет злоумышленникам динамически обновлять команды и избегать блокировок на сетевом уровне.
Эксперты подчеркивают, что Бразилия, занимающая пятое место в глобальном индексе внедрения криптовалют Chainalysis и являющаяся крупнейшим рынком в Латинской Америке, остается приоритетной мишенью для киберпреступников. Рост популярности цифровых активов в стране на фоне планов по созданию национального Bitcoin-резерва усугубляет риски для недостаточно защищенных пользователей.
BZIL
MOBU
MUTM
VFX
BTC
NMR