تصيب دودة جديدة تنتشر عبر تطبيق واتساب أجهزة في البرازيل، وتسلم حصان طروادة مصرفي يسمى Eternidade (بالبرتغالية تعني الأبدية) Stealer الذي يسرق بياناتdentالخاصة بمحافظ العملات المشفرة والخدمات المالية.
وفقًا لنتائج الباحثين ناثانيال موراليس وجون باسمايور ونيكيتا كازيميرسكي، من شركة أمن الويب 3 Trustwave SpiderLabs، تستخدم العملية بروتوكول الوصول إلى رسائل الإنترنت (IPMS) لجمع بيانات الأوامر والتحكم عند الطلب. يمكن للبيانات المسروقة أن تساعد الجهة التخريبية على تغيير الخوادم وتجنب التعطيل أثناء انتشار البرمجيات الخبيثة.
وكتب في صفحة مدونة الشركة يوم الأربعاء: "إنه يستخدم بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP) لاسترداد عناوين القيادة والتحكم (C2) بشكل ديناميكي، مما يسمح للمهاجم بتحديث خادم C2 الخاص به".
وقال المحققون إن المهاجمين تخلوا عن نصوص PowerShell القديمة ويقومون الآن بنشر نهج يعتمد على Python لاختطاف WhatsApp وتوزيع الملفات الضارة.
يقوم سارق الأبدية بإخفاء النشاط من خلال VBScript
وفقًا لتقرير Trustwave SpiderLabs، يبدأ الهجوم باستخدام VBScript غامض حيث تكون تعليقاته مكتوبة في الغالب باللغة البرتغالية.
تستخدم دودة بايثون تعليمات برمجية أقصر وأكثر مرونة لأتمتة نشاط WhatsApptracقوائم جهات الاتصال الكاملة باستخدام مكتبات wppconnect، والتحية المخصصة استنادًا إلى الوقت من اليوم، وإدراج أسماء المستلمين في الرسائل التي تحتوي على مرفقات ضارة.
سجل عناوين واتساب كاملًا للضحية . لكل جهة اتصال، تجمع الدودة رقم الهاتف والاسم لمعرفة ما إذا كان الشخص محفوظًا محليًا ولديه جهاز قابل للاختراق.
يتم نقل البيانات إلى خادم يتحكم فيه المهاجم من خلال طلب HTTP POST، حيث بعد التجميع، ترسل الدودة مرفقًا ضارًا إلى كل جهة اتصال باستخدام قالب رسالة تم إنشاؤه مسبقًا.
يقوم مثبت MSI بنشر حصان طروادة مصرفي محلي
تبدأ المرحلة الثانية من الهجوم بمجرد إسقاط برنامج التثبيت MSI للعديد من المكونات، بما في ذلك البرنامج النصي AutoIt الذي يتحقق على الفور مما إذا كانت لغة الجهاز مضبوطة على اللغة البرتغالية البرازيلية.
في الحالات التي لا يلبي فيها النظام هذا الشرط، يتم إيقاف تشغيل البرامج الضارة، مما قد يعني أن الجهات الفاعلة في التهديد تنوي استهداف المستخدمين في البرازيل فقط.
عند اجتياز فحص الإعدادات المحلية، يفحص البرنامج النصي العمليات الجارية ومفاتيح التسجيل بحثًا عن أي مؤشرات لأدوات الأمان. كما يُجري تحليلًا للجهاز ويرسل تفاصيل النظام إلى خادم الأوامر والتحكم الخاص بالمهاجمين.
وينتهي الهجوم بقيام البرنامج الخبيث بحقن حمولة Eternidade Stealer في "svchost.exe" باستخدام عملية تخفي التعليمات البرمجية الضارة داخل عمليات Windows المشروعة، والمعروفة باسم "التفريغ".
تقوم Eternidade Stealer بمراقبة النوافذ والعمليات النشطة بشكل مستمر بحثًا عن سلاسل مرتبطة بالخدمات المالية، بما في ذلك بعض أكبر البنوك البرازيلية ومنصات التكنولوجيا المالية الدولية.
بعض الشركات المالية التي ذكرتها Trustwave تشمل Santander وBanco do Brasil وBMG وSicredi وBradesco وBTG Pactual وMercadoPago وStripe، إلى جانب شركات العملات المشفرة BinanceوCoinbase وMetaMask وTrust Wallet.
غالبًا ما تكون أحصنة طروادة المصرفية البرازيلية خاملة حتى يفتح الضحية أحد التطبيقات المالية. عندها، تُفعّل عمليات تراكب أو إجراءات جمع بياناتdentوهي غير مرئية تمامًا للمستخدمين العاديين أو أدوات تحليل الأمان الآلية.
تحديد المواقع الجغرافية للبرامج الضارة يحد من الهجمات على مستخدمي WhatsApp البرازيليين
شاركت Trustwave SpiderLabs أيضًا إحصائيات لوحة التحكم، والتي كشفت أن البرنامج الخبيث يقيد الوصول إلى الأنظمة خارج البرازيل والأرجنتين. من بين 454 محاولة اتصال مسجلة، تم حظر 452 محاولة بسبب قواعد تحديد المواقع الجغرافية. سُمح باتصالين فقط وأُعيد توجيههما إلى النطاق الخبيث الحقيقي، بينما أُعيد توجيه المحاولات المحظورة إلى صفحة خطأ مؤقتة.
من بين محاولات الاتصال الفاشلة، جاءت 196 محاولة من الولايات المتحدة، تليها هولندا، ثم ألمانيا، ثم المملكة المتحدة، ثم فرنسا. وشكّل نظام ويندوز النسبة الأكبر من محاولات الاتصال بالنظام بـ 115 محاولة، مع أن السجلات تضمنت أيضًا 94 محاولة اتصال على نظام ماك، و45 محاولة على نظام لينكس، و18 محاولة اتصال على نظام أندرويد.
يأتي هذا الاكتشاف بعد أسابيع من عثور شركة Trustwave على عملية أخرى تُعرف باسم "Water Saci" تنتشر عبر واتساب ويب باستخدام دودة تُسمى SORVEPOTEL. وتُعد هذه البرمجية الخبيثة قناةً لبرنامج Maverick، وهو حصان طروادة مصرفي قائم على الشبكة، ينتمي إلى عائلة سابقة تُعرف باسم Coyote، كما هو الحال مع Cryptopolitan تم الإبلاغ عن ذلك الأسبوع الماضي.
