Червь WhatsApp распространяет троян, атакующий бразильские криптоприложения и финансовыеdentданные

Новый червь, распространяющийся через WhatsApp, заражает устройства в Бразилии, доставляя банковский троян под названием Eternidade (в переводе с португальского «вечность»), который крадетdentданные для криптовалютных кошельков и финансовых услуг.

Согласно выводам исследователей Trustwave SpiderLabs, компании по безопасности Web3, Натаниэля Моралеса, Джона Басмайора и Никиты Казимирского, операция использует протокол IMessage Access Protocol (IPAC) для получения информации о командовании и управлении по запросу. Украденные данные могут помочь злоумышленнику чередовать серверы и избегать сбоев по мере распространения вредоносного ПО.

«Он использует протокол IMAP (Internet Message Access Protocol) для динамического получения адресов управления и контроля (C2), что позволяет злоумышленнику обновлять свой C2-сервер», — написали на странице блога компании в среду.

Следователи заявили, что злоумышленники отказались от старых скриптов PowerShell и теперь используют подход на основе Python для взлома WhatsApp и распространения вредоносных файлов. 

Похититель Eternidade скрывает активность через VBScript

Согласно отчету Trustwave SpiderLabs, атака начинается с запутанного сценария VBScript, комментарии к которому написаны преимущественно на португальском языке.

Червь Python использует более короткий и гибкий код для автоматизации действий WhatsApp, чтобыtracполные списки контактов с помощью библиотек wppconnect, настраивать приветствия в зависимости от времени суток и вставлять имена получателей в сообщения, содержащие вредоносные вложения.

Центральная функция, названная «obter_contatos», позволяет вредоносной программе украсть всю адресную книгу WhatsApp жертвы . Для каждого контакта червь собирает номер телефона и имя, чтобы выяснить, сохранен ли контакт локально и есть ли у него устройство, которое можно взломать.

Данные передаются на контролируемый злоумышленником сервер через HTTP-запрос POST, где после сбора червь отправляет вредоносное вложение каждому контакту, используя предварительно созданный шаблон сообщения.

Установщик MSI развертывает локализованный банковский троян

Второй этап атаки начинается после того, как установщик MSI удаляет несколько компонентов, включая скрипт AutoIt, который немедленно проверяет, установлен ли на устройстве язык бразильского португальского. 

В случаях, когда система не соответствует этому условию, вредоносное ПО отключается, что может означать, что злоумышленники намерены нацелиться только на пользователей в Бразилии.

После успешного прохождения проверки локали скрипт сканирует запущенные процессы и разделы реестра на наличие средств безопасности. Он также составляет профиль устройства и отправляет системные данные на командный сервер злоумышленников.

Атака завершается тем, что вредоносное ПО внедряет полезную нагрузку Eternidade Stealer в «svchost.exe», используя процесс, который скрывает вредоносный код внутри легитимных процессов Windows, известный как «hollowing».

Eternidade Stealer постоянно отслеживает активные окна и процессы на предмет строк, связанных с финансовыми услугами, включая некоторые из крупнейших банков Бразилии и международные финтех-платформы. 

Некоторые из финансовых фирм, упомянутых Trustwave, включают Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, а также криптокомпании Binance, Coinbase, MetaMask и Trust Wallet.

Бразильские банковские трояны, как правило, неактивны, пока жертва не откроет одно из финансовых приложений. Затем они активируют оверлеи илиdentсбора учетных данных, оставаясь совершенно незаметными для случайных пользователей или автоматизированных инструментов анализа безопасности.

Геозонирование вредоносных программ ограничивает атаки на бразильских пользователей WhatsApp 

Trustwave SpiderLabs также поделилась статистикой панели, которая показала, что вредоносное ПО ограничивает доступ к системам за пределами Бразилии и Аргентины. Из 454 зафиксированных попыток подключения 452 были заблокированы из-за правил геозонирования. Только два подключения были разрешены и перенаправлены на настоящий вредоносный домен, а заблокированные попытки перенаправлялись на замещающую страницу с ошибкой.

Из всех неудачных попыток подключения 196 пришлось на США, далее следуют Нидерланды, Германия, Великобритания и Франция. Наибольшая доля попыток системного подключения (115) пришлась на Windows, хотя в журналах также зафиксировано 94 подключения на macOS, 45 на Linux и 18 на устройствах Android.

Это открытие произошло спустя несколько недель после того, как Trustwave обнаружила еще одну операцию под названием «Water Saci», распространяющуюся через WhatsApp Web с помощью червя SORVEPOTEL. Это вредоносное ПО является каналом для Maverick, банковского трояна, распространяемого через сеть NET, который, как Cryptopolitan сообщалось на прошлой неделе