WhatsApp を拡散する新しいワームがブラジルのデバイスに感染し、暗号通貨ウォレットや金融サービスのdent情報を盗む「Eternidade (ポルトガル語で永遠) Stealer」と呼ばれるバンキング型トロイの木馬を配信しています。
Web3セキュリティ企業Trustwave SpiderLabsの研究者であるナサニエル・モラレス氏、ジョン・バスマヨール氏、ニキータ・カジミルスキー氏の調査結果によると、この攻撃ではインターネット・メッセージ・アクセス・プロトコル(IMA)を用いて、要求に応じてコマンド&コントロール(C&C)サーバの詳細情報を取得している。窃取されたデータは、マルウェアの拡散に伴うサーバーローテーションや妨害行為の回避に役立つ可能性がある。
「このマルウェアは、インターネット メッセージ アクセス プロトコル (IMAP) を使用してコマンド アンド コントロール (C2) アドレスを動的に取得し、脅威の攻撃者が C2 サーバーを更新できるようにしている」とセキュリティ専門家は水曜日の同社のブログページに記した
捜査官らによると、攻撃者は古いPowerShellスクリプトを放棄し、現在はPythonベースのアプローチを展開してWhatsAppを乗っ取り、悪意のあるファイルを配布しているという。
Eternidade 窃盗犯は VBScript を通じて活動を隠蔽します
Trustwave SpiderLabs のレポートによると、攻撃は難読化された VBScript から始まり、そのコメントのほとんどはポルトガル語で書かれています。
Python ワームは、より短く、より機敏なコードを使用して WhatsApp アクティビティを自動化し、wppconnect ライブラリを使用して完全な連絡先リストをtracし、時刻に基づいて挨拶をカスタマイズし、悪意のある添付ファイルを含むメッセージに受信者の名前を挿入します。
「obter_contatos」と呼ばれる中心的な機能により、マルウェアは被害者のWhatsAppアドレス帳。ワームは各連絡先の電話番号と名前を収集し、その人物がローカルに保存されているか、また侵入可能なデバイスを持っているかどうかを確認します。
データは、HTTP POST リクエストを通じて攻撃者が管理するサーバーに送信され、収集後、ワームは事前に作成されたメッセージ テンプレートを使用してすべての連絡先に悪意のある添付ファイルを送信します。
MSIインストーラーはローカライズされたバンキング型トロイの木馬を展開します
攻撃の第 2 段階は、MSI インストーラーが、デバイスの言語がブラジル系ポルトガル語に設定されているかどうかを直ちに確認する AutoIt スクリプトを含むいくつかのコンポーネントをドロップすると開始されます。
システムがこの条件を満たさない場合、マルウェアはシャットダウンします。これは、脅威の攻撃者がブラジルのユーザーのみを標的にしようとしていることを意味する可能性があります。
ロケールチェックに合格すると、スクリプトは実行中のプロセスとレジストリキーをスキャンし、セキュリティツールの痕跡を探します。また、デバイスのプロファイリングを行い、システムの詳細情報を攻撃者のコマンド&コントロールサーバーに送信します。
攻撃は、正当な Windows プロセス内に悪意のあるコードを隠す「hollowing」と呼ばれるプロセスを使用して、マルウェアが Eternidade Stealer ペイロードを「svchost.exe」に挿入することで終了します。
Eternidade Stealer は、ブラジルの大手銀行や国際的なフィンテック プラットフォームなど、金融サービスに関連する文字列のアクティブなウィンドウとプロセスを継続的に監視します。
Trustwaveが言及した金融会社には、Santander、Banco do Brasil、BMG、Sicredi、Bradesco、BTG Pactual、MercadoPago、Stripeのほか、暗号通貨企業 Binance、Coinbase、MetaMask、Trust Walletなどが含まれます。
ブラジルのバンキング型トロイの木馬は、被害者が金融アプリケーションを開くまではほとんど活動を停止しています。その後、一般ユーザーや自動セキュリティ分析ツールには全く気づかれずに、オーバーレイやdent情報収集ルーチンを起動します。
マルウェアのジオフェンシングにより、攻撃はブラジルのWhatsAppユーザーに限定される
Trustwave SpiderLabsはパネル統計も公開し、このマルウェアがブラジルとアルゼンチン以外のシステムへのアクセスを制限していることが明らかになりました。記録された454件の通信試行のうち、452件はジオフェンシングルールによりブロックされました。許可された接続は2件のみで、実際の悪意のあるドメインにリダイレクトされ、ブロックされた試行はプレースホルダエラーページにリダイレクトされました。
失敗した接続試行のうち、196件は米国からのもので、次いでオランダ、ドイツ、英国、フランスでした。システム接続試行のうち、Windowsが115件で最も多くを占めましたが、ログにはmacOSでの接続94件、Linuxでの接続45件、Androidデバイスでの接続18件も含まれていました。
この発見は、TrustwaveがWhatsApp Web経由で拡散する「Water Saci」と呼ばれる別の活動を発見してから数週間後に起きた。この活動はSORVEPOTELと呼ばれるワームを利用している。このマルウェアは、ネットベースのバンキング型トロイの木馬「Maverick」の経路となっている。Maverickは、以前のCoyoteファミリーから派生したものであり、 Cryptopolitan 先週報告された
