最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- ブラジルの WhatsApp ワームは、銀行や暗号通貨のdent情報を盗む Python ベースのトロイの木馬を拡散しています。
- このマルウェアは、WhatsApp の連絡先を乗っ取り、メッセージを自動化し、多段階の感染チェーンを通じて Eternidade Stealer を展開します。
- このキャンペーンは、ジオフェンシング、IMAP ベースの C2 アップデート、ローカライズされた金融オーバーレイを利用して、ブラジルのポルトガル語システムを標的にしています。
WhatsApp を拡散する新しいワームがブラジルのデバイスに感染し、暗号通貨ウォレットや金融サービスのdent情報を盗む「Eternidade (ポルトガル語で永遠) Stealer」と呼ばれるバンキング型トロイの木馬を配信しています。
Web3セキュリティ企業Trustwave SpiderLabsの研究者であるナサニエル・モラレス氏、ジョン・バスマヨール氏、ニキータ・カジミルスキー氏の調査結果によると、この攻撃ではインターネット・メッセージ・アクセス・プロトコル(IMA)を用いて、要求に応じてコマンド&コントロール(C&C)サーバの詳細情報を取得している。窃取されたデータは、マルウェアの拡散に伴うサーバーローテーションや妨害行為の回避に役立つ可能性がある。
「このマルウェアはインターネットメッセージアクセスプロトコル(IMAP)を使用してコマンド&コントロール(C2)アドレスを動的に取得し、攻撃者がC2サーバーを更新できるようにします」と、セキュリティ専門家は水曜日に同社のブログページに記した。
捜査官らによると、攻撃者は古いPowerShellスクリプトを放棄し、現在はPythonベースのアプローチを展開して WhatsAppを乗っ取り 、悪意のあるファイルを配布しているという。
Eternidade 窃盗犯は VBScript を通じて活動を隠蔽します
Trustwave SpiderLabs のレポートによると、攻撃は難読化された VBScript から始まり、そのコメントのほとんどはポルトガル語で書かれています。
Python ワームは、より短く、より機敏なコードを使用して WhatsApp アクティビティを自動化し、wppconnect ライブラリを使用して完全な連絡先リストをtracし、時刻に基づいて挨拶をカスタマイズし、悪意のある添付ファイルを含むメッセージに受信者の名前を挿入します。
「obter_contatos」という中心的な機能により、このマルウェアは被害者の WhatsAppアドレス帳。各連絡先について、ワームは電話番号と名前を収集し、その人物の連絡先がローカルに保存されているか、また侵害可能なデバイスを所有しているかを調べます。
データは、HTTP POST リクエストを通じて攻撃者が管理するサーバーに送信され、収集後、ワームは事前に作成されたメッセージ テンプレートを使用してすべての連絡先に悪意のある添付ファイルを送信します。
MSIインストーラーはローカライズされたバンキング型トロイの木馬を展開します
攻撃の第 2 段階は、MSI インストーラーが、デバイスの言語がブラジル系ポルトガル語に設定されているかどうかを直ちに確認する AutoIt スクリプトを含むいくつかのコンポーネントをドロップすると開始されます。
システムがこの条件を満たさない場合、マルウェアはシャットダウンします。これは、脅威の攻撃者がブラジルのユーザーのみを標的にしようとしていることを意味する可能性があります。
ロケールチェックに合格すると、スクリプトは実行中のプロセスとレジストリキーをスキャンし、セキュリティツールの痕跡を探します。また、デバイスのプロファイリングを行い、システムの詳細情報を攻撃者のコマンド&コントロールサーバーに送信します。
攻撃は、正当な Windows プロセス内に悪意のあるコードを隠す「hollowing」と呼ばれるプロセスを使用して、マルウェアが Eternidade Stealer ペイロードを「svchost.exe」に挿入することで終了します。
Eternidade Stealer は、ブラジルの大手銀行や国際的なフィンテック プラットフォームなど、金融サービスに関連する文字列のアクティブなウィンドウとプロセスを継続的に監視します。
Trustwaveが言及した金融会社には、Santander、Banco do Brasil、BMG、Sicredi、Bradesco、BTG Pactual、MercadoPago、Stripeのほか、暗号通貨企業 Binance、Coinbase、MetaMask、Trust Walletなどが含まれます。
ブラジルのバンキング型トロイの木馬は、被害者が金融アプリケーションを開くまではほとんど活動を停止しています。その後、一般ユーザーや自動セキュリティ分析ツールには全く気づかれずに、オーバーレイやdent情報収集ルーチンを起動します。
マルウェアのジオフェンシングにより、攻撃はブラジルのWhatsAppユーザーに限定される
Trustwave SpiderLabsはパネル統計も公開し、このマルウェアがブラジルとアルゼンチン以外のシステムへのアクセスを制限していることが明らかになりました。記録された454件の通信試行のうち、452件はジオフェンシングルールによりブロックされました。許可された接続は2件のみで、実際の悪意のあるドメインにリダイレクトされ、ブロックされた試行はプレースホルダエラーページにリダイレクトされました。
失敗した接続試行のうち、196件は米国からのもので、次いでオランダ、ドイツ、英国、フランスでした。システム接続試行のうち、Windowsが115件で最も多くを占めましたが、ログにはmacOSでの接続94件、Linuxでの接続45件、Androidデバイスでの接続18件も含まれていました。
今回の発見は、Trustwaveが「Water Saci」と呼ばれる別の攻撃がSORVEPOTELというワームを使ってWhatsApp Webを通じて拡散しているのを発見してから数週間後のことである。Cryptopolitanが先週報じたように、このマルウェアは、以前はCoyoteとして知られるファミリーに属していたNETベースのバンキング型トロイの木馬であるMaverickの Cryptopolitan となっている 。
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
フローレンス・ムチャイ
フローレンスは過去6年間、暗号通貨、ゲーム、テクノロジー、AI関連のニュースを取材してきました。メルー科学技術大学でコンピュータ科学を、メルー科学技術大学で災害管理と国際外交を専攻した経験は、彼女に語学力、観察力、そして技術力を十分に備えさせています。フローレンスはVAPグループで勤務したほか、複数の暗号通貨メディアで編集者として活躍してきました。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)