Un nuovo worm che si propaga su WhatsApp sta infettando i dispositivi in Brasile, diffondendo un trojan bancario chiamato Eternidade (in portoghese "eternità") Stealer che ruba ledentper i portafogli di criptovalute e i servizi finanziari.
Secondo i risultati delle ricerche condotte dai ricercatori Nathaniel Morales, John Basmayor e Nikita Kazymirskyi dell'azienda di sicurezza Web3 Trustwave SpiderLabs, l'operazione utilizza l'Internet Message Access Protocol per recuperare informazioni di comando e controllo su richiesta. I dati rubati possono aiutare un autore della minaccia a ruotare i server ed evitare interruzioni durante la diffusione del malware.
"Utilizza il protocollo Internet Message Access Protocol (IMAP) per recuperare dinamicamente gli indirizzi di comando e controllo (C2), consentendo all'autore della minaccia di aggiornare il proprio server C2", hanno scritto mercoledì i professionisti della sicurezza sulla pagina del blog dell'azienda.
Gli investigatori hanno affermato che gli aggressori hanno abbandonato i vecchi script di PowerShell e ora stanno implementando un approccio basato su Python per dirottare WhatsApp e distribuire file dannosi.
Il ladro di eternità nasconde l'attività tramite VBScript
Secondo il rapporto di Trustwave SpiderLabs, l'attacco inizia con un VBScript offuscato, i cui commenti sono scritti per lo più in portoghese.
Il worm Python utilizza un codice più breve e agile per automatizzare l'attività di WhatsApp,tracelenchi di contatti completi utilizzando le librerie wppconnect, saluti personalizzati in base all'ora del giorno e inserire i nomi dei destinatari nei messaggi contenenti allegati dannosi.
rubrica WhatsApp della vittima . Per ogni contatto, il worm raccoglie il numero di telefono e il nome per scoprire se la persona è salvata localmente e possiede un dispositivo che può essere violato.
I dati vengono trasmessi a un server controllato dall'aggressore tramite una richiesta HTTP POST, dove, dopo la raccolta, un worm invia un allegato dannoso a ogni contatto utilizzando un modello di messaggio predefinito.
Il programma di installazione MSI distribuisce un trojan bancario localizzato
La seconda fase dell'attacco inizia quando il programma di installazione MSI rilascia diversi componenti, tra cui uno script AutoIt che verifica immediatamente se la lingua del dispositivo è impostata sul portoghese brasiliano.
Nei casi in cui il sistema non soddisfa questa condizione, il malware si arresta, il che potrebbe significare che gli autori della minaccia intendono prendere di mira solo gli utenti in Brasile.
Una volta superato il controllo locale, lo script analizza i processi in esecuzione e le chiavi di registro alla ricerca di segni di strumenti di sicurezza. Inoltre, traccia il profilo del dispositivo e invia i dettagli del sistema al server di comando e controllo degli aggressori.
L'attacco si conclude con il malware che inietta il payload Eternidade Stealer in "svchost.exe" utilizzando un processo che nasconde il codice dannoso all'interno di processi Windows legittimi, noto come "hollowing".
Eternidade Stealer monitora costantemente le finestre attive e i processi per le stringhe relative ai servizi finanziari, tra cui alcune delle più grandi banche brasiliane e piattaforme fintech internazionali.
Alcune delle società finanziarie menzionate da Trustwave includono Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, insieme alle società crittografiche Binance, Coinbase, MetaMask e Trust Wallet.
I trojan bancari brasiliani rimangono per lo più dormienti finché la vittima non apre una delle applicazioni finanziarie. A quel punto, attivano overlay o routine di raccolta didentrimanendo completamente invisibili agli utenti occasionali o agli strumenti di analisi della sicurezza automatizzati.
Il geofencing del malware limita gli attacchi agli utenti WhatsApp brasiliani
Trustwave SpiderLabs ha anche condiviso le statistiche del panel, che hanno rivelato che il malware limita l'accesso ai sistemi al di fuori di Brasile e Argentina. Dei 454 tentativi di comunicazione registrati, 452 sono stati bloccati a causa delle regole di geofencing. Solo due connessioni sono state consentite e reindirizzate al dominio effettivamente dannoso, mentre i tentativi bloccati sono stati reindirizzati a una pagina di errore segnaposto.
Dei tentativi di connessione falliti, 196 provenivano dagli Stati Uniti, seguiti da Paesi Bassi, Germania, Regno Unito e Francia. Windows ha rappresentato la quota maggiore di tentativi di connessione al sistema con 115, sebbene i registri includessero anche 94 connessioni su macOS, 45 su Linux e 18 dispositivi Android.
La scoperta arriva poche settimane dopo che Trustwave ha scoperto un'altra operazione denominata "Water Saci" che si diffondeva tramite WhatsApp Web utilizzando un worm chiamato SORVEPOTEL. Quel malware è un canale per Maverick, un trojan bancario basato su NET che proveniva da una precedente famiglia nota come Coyote, come Cryptopolitan segnalato la scorsa settimana.
