Les utilisateurs de cryptoactifs au Brésil sont avertis de se méfier des menaces de hackers basées sur WhatsApp.

Les détenteurs de Cryptoactifs au Brésil ont été avertis qu'une activité complexe de Hacker se propage via des messages WhatsApp, exploitant des vers de prise de contrôle et des chevaux de Troie bancaires. L'équipe de recherche en cybersécurité de Trustwave, SpiderLabs, a découvert un cheval de Troie bancaire nommé “Eternidade Stealer”, qui se propage par des techniques d'ingénierie sociale sur WhatsApp. Ces techniques comprennent la falsification de projets gouvernementaux, l'envoi de notifications par e-mail, la simulation de messages d'amis et de faux groupes d'investissement. Les chercheurs de SpiderLabs, Nathaniel Morales, John Basmayor et Nikita Kazymirskyi, soulignent que WhatsApp reste l'un des canaux de communication les plus exploités dans l'écosystème de la cybercriminalité au Brésil. Au cours des deux dernières années, les cybercriminels ont continuellement amélioré leurs stratégies, profitant de la large adoption de la plateforme pour propager des chevaux de Troie bancaires et des malwares de vol d'informations. Lorsque les utilisateurs cliquent sur des liens vers des vers dans WhatsApp, cela déclenche une réaction en chaîne, conduisant finalement à l'infection des appareils par des vers et des chevaux de Troie bancaires. Le ver prend le contrôle des comptes des victimes et accède à leur liste de contacts, utilisant un “filtrage intelligent” pour contourner les contacts commerciaux et les groupes, permettant ainsi d'attaquer plus efficacement des contacts individuels. Pendant ce temps, le cheval de Troie bancaire se télécharge automatiquement sur l'appareil de la victime et déploie en arrière-plan Eternidade Stealer. Ce malware scanne les données financières et les informations de connexion de plusieurs banques, entreprises de technologie financière ainsi que des plateformes d'échange de Cryptoactifs et des Portefeuilles au Brésil. Le malware utilise une méthode astucieuse pour éviter d'être détecté ou arrêté. Il n'utilise pas d'adresse de serveur fixe, mais reçoit de nouvelles instructions par e-mail via un compte Gmail prédéfini, permettant ainsi au Hacker de mettre à jour les instructions en envoyant de nouveaux e-mails. Le rapport indique que le malware utilise des identifiants codés en dur pour se connecter à son compte e-mail. Le malware récupère ses commandes et contrôle (C2) à partir de ce compte e-mail. Cette méthode aide à maintenir la persistance et à échapper à la détection ou à l'élimination au niveau du réseau. Si le malware ne peut pas se connecter au compte e-mail, il utilise une adresse C2 de secours codée en dur. Il est conseillé aux utilisateurs d'applications comme WhatsApp d'être prudents avec tous les liens reçus, même ceux provenant de contacts de confiance. Une bonne pratique consiste à envoyer un message via d'autres applications au destinataire pour vérifier la légitimité du lien. De plus, les utilisateurs doivent être vigilants face aux liens envoyés accidentellement dans un contexte d'information limitée. Garder le logiciel à jour peut prévenir les vulnérabilités ciblant les anciennes versions, tandis qu'un logiciel antivirus peut aider à signaler les problèmes potentiels. En cas de Hacker, il est impératif de geler immédiatement tous les accès aux services bancaires et aux Cryptoactifs pour éviter d'autres pertes. Suivre les fonds peut aider les plateformes d'échange, les chercheurs ou les autorités à tracer le mouvement des actifs.