브라질의 기기를 감염시키는 새로운 WhatsApp 기반 웜이 발견되어 Eternidade(포르투갈어로 영원이라는 뜻) Stealer라는 은행 트로이 목마를 유포하고 있습니다. 이 트로이 목마는 암호화폐 지갑과 금융 서비스의dent정보를 훔칩니다.
웹3 보안 회사 트러스트웨이브 스파이더랩스(Trustwave SpiderLabs)의 연구원 나다니엘 모랄레스(Nathaniel Morales), 존 바스마요르(John Basmayor), 니키타 카지미르스키(Nikita Kazymirskyi)의 조사 결과에 따르면, 이 작전은 인터넷 메시지 접속 프로토콜(IMPA)을 사용하여 명령 및 제어(C&C) 정보를 필요에 따라 수집합니다. 유출된 데이터는 악성코드 확산 과정에서 위협 행위자가 서버를 순환시키고 방해를 피하는 데 도움이 될 수 있습니다.
수요일에 회사 블로그 페이지에 "이 악성코드는 인터넷 메시지 접속 프로토콜(IMAP)을 사용해 명령 및 제어(C2) 주소를 동적으로 검색하여 위협 행위자가 C2 서버를 업데이트할 수 있도록 합니다."라고 적었
WhatsApp을 하이재킹 하고 악성 파일을 배포하기 위해 Python 기반 접근 방식을 사용하고 있다고 밝혔습니다
Eternidade 스틸러는 VBScript를 통해 활동을 숨깁니다.
Trustwave SpiderLabs의 보고서에 따르면, 공격은 주로 포르투갈어로 작성된 주석이 있는 난독화된 VBScript로 시작됩니다.
Python 웜은 wppconnect 라이브러리를 사용하여 전체 연락처 목록을trac하고, 시간대에 따라 맞춤 인사말을 제공하고, 악성 첨부 파일이 포함된 메시지에 수신자 이름을 삽입하는 등 WhatsApp 활동을 자동화하는 더 짧고 민첩한 코드를 사용합니다.
"obter_contatos"라는 중앙 기능을 통해 맬웨어는 피해자의 WhatsApp 주소록 . 웜은 각 연락처의 전화번호와 이름을 수집하여 해당 사람이 로컬에 저장되어 있는지, 그리고 해킹 가능한 기기를 사용하는지 확인합니다.
데이터는 HTTP POST 요청을 통해 공격자가 제어하는 서버로 전송되고, 수집된 후 웜은 미리 작성된 메시지 템플릿을 사용하여 모든 연락처에 악성 첨부 파일을 보냅니다.
MSI 설치 프로그램이 로컬 뱅킹 트로이 목마를 배포합니다.
공격의 두 번째 단계는 MSI 설치 프로그램이 여러 구성 요소를 삭제하면서 시작됩니다. 여기에는 장치 언어가 브라질 포르투갈어로 설정되어 있는지 즉시 확인하는 AutoIt 스크립트가 포함됩니다.
시스템이 이러한 조건을 충족하지 못하는 경우, 맬웨어가 종료되는데, 이는 위협 행위자가 브라질의 사용자만을 표적으로 삼을 의도를 가지고 있음을 의미합니다.
로캘 검사가 통과하면 스크립트는 실행 중인 프로세스와 레지스트리 키를 검사하여 보안 도구의 흔적을 찾습니다. 또한 기기의 프로파일링을 수행하고 시스템 세부 정보를 공격자의 명령 및 제어 서버로 전송합니다.
공격은 악성 소프트웨어가 합법적인 Windows 프로세스 내에 악성 코드를 숨기는 "hollowing"이라는 프로세스를 사용하여 Eternidade Stealer 페이로드를 "svchost.exe"에 주입하는 것으로 끝납니다.
Eternidade Stealer는 브라질 최대 규모의 은행과 국제 핀테크 플랫폼을 포함한 금융 서비스와 관련된 문자열에 대한 활성 창과 프로세스를 지속적으로 모니터링합니다.
Trustwave가 언급한 금융 회사로는 Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe와 함께 암호화폐 회사인 Binance, Coinbase, MetaMask 및 Trust Wallet이 있습니다.
브라질 뱅킹 트로이 목마는 대부분 피해자가 금융 애플리케이션 중 하나를 열 때까지 잠복해 있다가, 일반 사용자나 자동화된 보안 분석 도구에는 전혀 드러나지 않은 채 오버레이 또는dent증명 수집 루틴을 실행합니다.
악성코드 지오펜싱으로 브라질 WhatsApp 사용자에 대한 공격 제한
Trustwave SpiderLabs는 또한 패널 통계를 공유했는데, 이 통계에 따르면 이 악성코드는 브라질과 아르헨티나 외부 시스템에 대한 접근을 제한합니다. 기록된 454건의 통신 시도 중 452건은 지오펜싱 규칙으로 인해 차단되었습니다. 단 두 건의 연결만 허용되어 실제 악성 도메인으로 리디렉션되었으며, 차단된 시도는 임시 오류 페이지로 리디렉션되었습니다.
실패한 연결 시도 중 196건은 미국에서 발생했으며, 네덜란드, 독일, 영국, 프랑스가 그 뒤를 이었습니다. Windows는 115건으로 시스템 연결 시도에서 가장 많은 비중을 차지했지만, 로그에는 macOS에서 94건, Linux에서 45건, Android 기기에서 18건의 연결도 포함되어 있었습니다.
이번 발견은 트러스트웨이브가 SORVEPOTEL이라는 웜을 이용해 WhatsApp 웹을 통해 확산되는 "Water Saci"라는 또 다른 악성 프로그램을 발견한 지 몇 주 만에 이루어졌습니다. 이 악성 프로그램은 Coyote 계열의 이전 버전인 Cryptopolitan 지난주 에 보도되었습니다
