Usuários de criptografia no Brasil são alertados a ficarem atentos às ameaças de hackers baseadas no WhatsApp

Os detentores de ativos de criptografia no Brasil foram alertados de que uma complexa atividade de ataque hacker está se espalhando através de mensagens do WhatsApp, utilizando um verme de sequestro e um malware bancário. A equipe de pesquisa em cibersegurança da Trustwave, SpiderLabs, descobriu um malware bancário chamado “Eternidade Stealer”, que está se espalhando por meio de engenharia social no WhatsApp. Essas táticas incluem a falsificação de projetos governamentais, o envio de notificações por e-mail, mensagens disfarçadas de amigos e grupos de investimento falsos. Os pesquisadores da SpiderLabs, Nathaniel Morales, John Basmayor e Nikita Kazymirskyi, apontaram que o WhatsApp continua sendo um dos canais de comunicação mais explorados no ecossistema de crimes cibernéticos no Brasil. Nos últimos dois anos, os criminosos cibernéticos aprimoraram continuamente suas estratégias, aproveitando a ampla popularidade da plataforma para disseminar malwares bancários e malware de roubo de informações. Quando os usuários clicam em links de verme no WhatsApp, uma reação em cadeia é acionada, levando à infecção de dispositivos com vermes e malwares bancários. O verme sequestra a conta da vítima e acessa sua lista de contatos, utilizando “filtros inteligentes” para contornar contatos comerciais e grupos, atacando assim contatos individuais de maneira mais eficaz. Ao mesmo tempo, o malware bancário é baixado automaticamente para o dispositivo da vítima e implanta o Eternidade Stealer em segundo plano. Este malware escaneia dados financeiros e informações de login de vários bancos, fintechs, bem como de exchanges e carteiras de criptomoeda no Brasil. O malware utiliza uma abordagem engenhosa para evitar ser detectado ou encerrado. Ele não usa um endereço de servidor fixo, mas aproveita contas do Gmail pré-configuradas para receber novas instruções por e-mail, permitindo que os hackers atualizem as instruções enviando novos e-mails. O relatório indica que o malware usa credenciais codificadas para fazer login em sua conta de e-mail. O malware obtém seu comando e controle (C2) a partir da conta de e-mail. Esta abordagem ajuda a manter a persistência e a evitar a detecção ou eliminação em nível de rede. Se o malware não conseguir se conectar à conta de e-mail, ele usará um endereço C2 de backup codificado. Os usuários de aplicativos como o WhatsApp são aconselhados a ter cautela com qualquer link recebido, mesmo que seja de contatos confiáveis. A prática prudente é enviar uma mensagem ao remetente por meio de outros aplicativos para verificar a legitimidade do link. Além disso, os usuários devem estar atentos a links que foram enviados acidentalmente em contextos de informações limitadas. Manter o software atualizado pode prevenir vulnerabilidades em versões antigas, enquanto um software antivírus pode ajudar a marcar problemas potenciais. Uma vez que um ataque hacker ocorra, é crucial congelar imediatamente todos os acessos aos serviços bancários e de criptomoeda para evitar mais perdas. Rastrear fundos pode ajudar exchanges, pesquisadores ou autoridades a rastrear o fluxo de ativos.