Ein neuer, über WhatsApp verbreiteter Wurm infiziert Geräte in Brasilien und liefert einen Banking-Trojaner namens Eternidade (portugiesisch für Ewigkeit) Stealer, derdentfür Kryptowährungs-Wallets und Finanzdienstleistungen stiehlt.
Laut den Erkenntnissen der Forscher Nathaniel Morales, John Basmayor und Nikita Kazymirskyi vom Sicherheitsunternehmen Trustwave SpiderLabs (Web3) nutzt die Malware das Internet Message Access Protocol (IMAP), um bei Bedarf Befehls- und Kontrollinformationen abzurufen. Die gestohlenen Daten können Angreifern helfen, Server zu wechseln und Störungen zu umgehen, während sich die Malware verbreitet.
„Es nutzt das Internet Message Access Protocol (IMAP), um dynamisch Command-and-Control-Adressen (C2-Adressen) abzurufen, wodurch der Angreifer seinen C2-Server aktualisieren kann“, schrieben am Mittwoch auf der Blogseite des Unternehmens.
Die Ermittler gaben an, dass die Angreifer ältere PowerShell-Skripte aufgegeben hätten und nun einen auf Python basierenden Ansatz einsetzen, um WhatsApp zu kapern und schädliche Dateien zu verbreiten.
Eternidade-Stealer verbirgt Aktivitäten mittels VBScript
Laut einem Bericht von Trustwave SpiderLabs beginnt der Angriff mit einem verschleierten VBScript, dessen Kommentare größtenteils in Portugiesisch verfasst sind.
Der Python-Wurm verwendet kürzeren, agileren Code, um WhatsApp-Aktivitäten zu automatisieren und mithilfe der wppconnect-Bibliotheken vollständige Kontaktlisten zutrac, personalisierte Begrüßungen basierend auf der Tageszeit zu versenden und die Namen der Empfänger in Nachrichten mit schädlichen Anhängen einzufügen.
WhatsApp-Adressbuch des Opfers zu stehlen . Für jeden Kontakt erfasst der Wurm Telefonnummer und Namen, um herauszufinden, ob die Person lokal gespeichert ist und ein Gerät besitzt, das angegriffen werden kann.
Die Daten werden über eine HTTP-POST-Anfrage an einen vom Angreifer kontrollierten Server übermittelt. Nach der Datenerfassung sendet ein Wurm mithilfe einer vorgefertigten Nachrichtenvorlage einen schädlichen Anhang an jeden Kontakt.
MSI-Installer installiert lokalisierten Banking-Trojaner
Die zweite Phase des Angriffs beginnt, sobald das MSI-Installationsprogramm mehrere Komponenten ablegt, darunter ein AutoIt-Skript, das sofort überprüft, ob die Gerätesprache auf brasilianisches Portugiesisch eingestellt ist.
Wenn das System diese Bedingung nicht erfüllt, schaltet sich die Malware ab, was bedeuten könnte, dass die Bedrohungsakteure beabsichtigen, nur Benutzer in Brasilien ins Visier zu nehmen.
Wenn die Gebietsschemaprüfung erfolgreich ist, durchsucht das Skript laufende Prozesse und Registrierungsschlüssel nach Anzeichen von Sicherheitstools. Es erstellt außerdem ein Geräteprofil und sendet Systemdetails an den Command-and-Control-Server der Angreifer zurück.
Der Angriff endet damit, dass die Schadsoftware die Eternidade Stealer-Payload in „svchost.exe“ einschleust. Dies geschieht mithilfe eines Verfahrens, das als „Hollowing“ bekannt ist und bösartigen Code in legitimen Windows-Prozessen versteckt.
Eternidade Stealer überwacht kontinuierlich aktive Fenster und Prozesse auf Zeichenketten im Zusammenhang mit Finanzdienstleistungen, darunter einige der größten Banken Brasiliens und internationale Fintech-Plattformen.
Zu den von Trustwave genannten Finanzunternehmen gehören Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe sowie die Kryptounternehmen Binance, Coinbase, MetaMask und Trust Wallet.
Brasilianische Banking-Trojaner bleiben meist inaktiv, bis das Opfer eine Finanzanwendung öffnet. Dann werden Overlays oderdentzum Abgreifen von Zugangsdaten aktiviert, ohne dass dies für normale Benutzer oder automatisierte Sicherheitsanalysetools erkennbar ist.
Malware-Geofencing beschränkt Angriffe auf brasilianische WhatsApp-Nutzer.
Trustwave SpiderLabs veröffentlichte außerdem Panel-Statistiken, die zeigten, dass die Malware den Zugriff auf Systeme außerhalb Brasiliens und Argentiniens einschränkt. Von 454 aufgezeichneten Kommunikationsversuchen wurden 452 aufgrund von Geofencing-Regeln blockiert. Nur zwei Verbindungen wurden zugelassen und auf die eigentliche Schadsoftware-Domain umgeleitet, während blockierte Versuche auf eine Platzhalter-Fehlerseite umgeleitet wurden.
Von den fehlgeschlagenen Verbindungsversuchen stammten 196 aus den USA, gefolgt von den Niederlanden, Deutschland, Großbritannien und Frankreich. Windows verzeichnete mit 115 Versuchen den größten Anteil an Systemverbindungen, die Protokolle enthielten jedoch auch 94 Verbindungen unter macOS, 45 unter Linux und 18 unter Android-Geräten.
Die Entdeckung erfolgte wenige Wochen, nachdem Trustwave eine weitere Operation namens „Water Saci“ aufgedeckt hatte, die sich über WhatsApp Web mithilfe eines Wurms namens SORVEPOTEL verbreitete. Diese Schadsoftware dient als Einschleusen für Maverick, einen NET-basierten Banking-Trojaner, der von einer früheren Familie namens Coyote abstammt, wie Cryptopolitan berichtete letzte Woche.
