一种新的通过 WhatsApp 传播的蠕虫正在感染巴西的设备,它携带一种名为 Eternidade(葡萄牙语意为“永恒”)窃取器的银行木马,该木马会窃取dent货币钱包和金融服务的凭证。
根据Web3安全公司Trustwave SpiderLabs的研究人员Nathaniel Morales、John Basmayor和Nikita Kazymirskyi的研究结果,该攻击行动利用互联网消息访问协议(IMAP)按需获取命令与控制信息。被盗数据可以帮助攻击者轮换服务器,并在恶意软件传播过程中规避干扰。
“它使用互联网消息访问协议 (IMAP) 动态检索命令与控制 (C2) 地址,使威胁行为者能够更新其 C2 服务器,”安全专家周三在该公司博客页面上写道
调查人员表示,攻击者放弃了较早的 PowerShell 脚本,现在采用基于 Python 的方法来劫持 WhatsApp并传播恶意文件。
Eternidade 窃取器通过 VBScript 隐藏活动
根据 Trustwave SpiderLabs 的报告,攻击始于一段混淆的 VBScript 代码,其注释大多是用葡萄牙语编写的。
Python 蠕虫使用更短、更灵活的代码来自动化 WhatsApp 活动,利用 wppconnect 库trac完整的联系人列表,根据一天中的时间定制问候语,并将收件人的姓名插入到包含恶意附件的消息中。
一个名为“obter_contatos”的核心功能使恶意软件能够窃取受害者的整个WhatsApp通讯录。对于每个联系人,蠕虫会收集电话号码和姓名,以确定该联系人是否已保存在本地,以及其设备是否可被入侵。
数据通过 HTTP POST 请求传输到攻击者控制的服务器,收集数据后,蠕虫会使用预先构建的消息模板向每个联系人发送恶意附件。
MSI 安装程序部署本地化银行木马
攻击的第二阶段始于 MSI 安装程序释放几个组件之后,其中包括一个 AutoIt 脚本,该脚本会立即检查设备语言是否设置为巴西葡萄牙语。
如果系统不满足此条件,恶意软件将关闭,这可能意味着威胁行为者只想针对巴西的用户。
当区域设置检查通过后,脚本会扫描正在运行的进程和注册表项,查找安全工具的迹象。它还会分析设备,并将系统详细信息发送回攻击者的命令与控制服务器。
攻击的最后阶段,恶意软件会将 Eternidade Stealer 有效载荷注入到“svchost.exe”中,它利用一种将恶意代码隐藏在合法 Windows 进程中的技术,称为“空洞化”。
Eternidade Stealer 持续监控活动窗口和进程,查找与金融服务相关的字符串,包括巴西一些最大的银行和国际金融科技平台。
Trustwave 提到的一些金融公司包括 Santander、Banco do Brasil、BMG、Sicredi、Bradesco、BTG Pactual、MercadoPago、Stripe,以及加密货币公司 Binance、Coinbase、MetaMask 和 Trust Wallet。
巴西银行木马大多处于休眠状态,直到受害者打开某个金融应用程序。此时,它会触发叠加层或dent窃取程序,而普通用户或自动化安全分析工具都无法察觉。
恶意软件地理围栏功能将攻击限制在巴西 WhatsApp 用户范围内
Trustwave SpiderLabs 还分享了面板统计数据,数据显示该恶意软件限制了对巴西和阿根廷以外系统的访问。在记录的 454 次通信尝试中,452 次因地理围栏规则而被阻止。只有两次连接被允许并重定向到真正的恶意域名,而被阻止的尝试则被重定向到一个占位符错误页面。
在所有连接失败的尝试中,196 次来自美国,其次是荷兰、德国、英国和法国。Windows 系统尝试连接的次数最多,达 115 次,但日志中还包含 macOS 系统上的 94 次连接、Linux 系统上的 45 次连接和 Android 设备上的 18 次连接。
几周前,Trustwave 发现了另一个名为“Water Saci”的恶意软件,该软件利用名为 SORVEPOTEL 的蠕虫病毒通过 WhatsApp Web 传播。该恶意软件是 Maverick 的传播媒介,Maverick 是一种基于 NET 的银行木马,它源自早期名为 Coyote 的木马家族,也被称为Cryptopolitan 上周报道过
