Бразильских держателей криптовалют призывают быть начеку в связи с изощренной хакерской кампанией, включающей в себя захватчик-червя и банковский троян, распространяемые через сообщения WhatsApp.
Согласно новому отчету исследовательской группы по кибербезопасности Trustwave SpiderLabs, банковский троян, известный как “Eternidade Stealer”, распространяется посредством социальной инженерии в мессенджере WhatsApp, используя такие приманки, как “фейковые государственные программы, уведомления о доставке”, сообщения от друзей и мошеннические инвестиционные группы.
“WhatsApp продолжает оставаться одним из наиболее уязвимых каналов связи в бразильской киберпреступной экосистеме. За последние два года злоумышленники усовершенствовали свою тактику, используя огромную популярность платформы для распространения банковских троянов и вредоносного ПО, крадущего информацию”, - заявили исследователи SpiderLabs Nathaniel Morales, John Basmayor и Nikita Kazymirskyi.
Объясняя процесс простыми словами, переход по ссылке червя в WhatsApp запускает цепную реакцию, заражающую жертву как червем, так и банковским трояном.
Червь захватывает учетную запись и получает доступ к списку контактов жертвы. Он использует “умную фильтрацию”, чтобы игнорировать деловые контакты и группы, ориентируясь на индивидуальные контакты для повышения эффективности.
Тем временем банковский троян представляет собой файл, автоматически загружаемый на устройство жертвы, который развертывает Eternidade Stealer в фоновом режиме. Он способен сканировать финансовые данные и данные для входа в ряд бразильских банков, финтех-компаний, криптобирж и кошельков.
Вредоносное ПО также имеет хитрый способ избежать обнаружения или отключения. Вместо использования фиксированного серверного адреса оно использует предварительно заданный аккаунт Gmail для проверки новых команд по электронной почте. Это позволяет злоумышленникам изменять команды, отправляя новые электронные письма.
“Одной из примечательных особенностей этого вредоносного ПО является то, что оно использует жестко закодированные учетные данные для входа в свой аккаунт электронной почты, откуда оно получает свой C2-сервер. Это очень хитрый способ обновления своего C2, поддержания устойчивости и обхода обнаружения или отключения на сетевом уровне. Если вредоносное ПО не может подключиться к аккаунту электронной почты, оно использует жестко закодированный резервный адрес C2”, - говорится в отчете.
По данным аналитической платформы Chainalysis, Бразилия является крупнейшей страной по внедрению криптовалют в Латинской Америке и занимает пятое место в Индексе глобального внедрения криптовалют в 2025 году.
Индекс основан на использовании различных типов крипто-сервисов в странах и учитывает другие факторы, такие как размер населения и покупательная способность.
Как оставаться в безопасности
Пользователям приложений, таких как WhatsApp, рекомендуется проявлять осторожность с любыми полученными ссылками, даже если они отправлены доверенным контактом.
Полезной тактикой может быть отправка сообщения контакту через другое приложение, чтобы подтвердить, что ссылка в порядке, и проявлять подозрительность к ссылке, отправленной внезапно и без достаточного контекста.
Поддержание программного обеспечения в актуальном состоянии также может помочь защитить людей от потенциальных ошибок, нацеленных на устаревшие версии, а антивирусное программное обеспечение потенциально может помочь выявить проблемы.
Если кто-то был взломан, важно немедленно заблокировать все потенциальные точки доступа к банковским и крипто-сервисам, чтобы остановить утечку средств. Отслеживание средств также может помочь биржам, исследователям или властям отследить, куда движутся активы, потенциально помогая им заморозить кошельки злоумышленников.
