Пользователям криптоактивов в Бразилии предостерегают о угрозах со стороны хакеров, основанных на WhatsApp.

Бразильским держателям криптоактивов выдано предупреждение о том, что сложная деятельность хакеров распространяется через сообщения WhatsApp, используя червя-угонщик и банковский троян. Исследовательская группа по кибербезопасности Trustwave SpiderLabs обнаружила банковский троян под названием “Eternidade Stealer”, который распространяется с помощью социального инжиниринга в WhatsApp. Эти методы включают подделку правительственных проектов, отправку уведомлений по электронной почте, маскировку под сообщения друзей и фальшивые инвестиционные группы. Исследователи SpiderLabs Натанель Моралес, Джон Басмайор и Никита Казимирский отметили, что WhatsApp по-прежнему является одним из самых часто используемых каналов связи в экосистеме киберпреступности Бразилии. В течение последних двух лет киберпреступники постоянно совершенствовали свои стратегии, используя широкую популярность этой платформы для распространения банковских троянов и вредоносных программ для кражи информации. Когда пользователь нажимает на ссылку червя в WhatsApp, это вызывает цепную реакцию, в конечном итоге приводящую к заражению устройства червем и банковским трояном. Этот червь угоняет счета жертвы и получает доступ к ее списку контактов, используя “умную фильтрацию” для обхода бизнес-контактов и групп, что позволяет более эффективно атаковать отдельных контактов. В то же время банковский троян автоматически загружается на устройство жертвы и развертывает Eternidade Stealer в фоновом режиме. Этот вредоносный софт сканирует финансовые данные и учетные данные для входа в несколько бразильских банков, финтех-компаний, а также криптовалютные биржи и кошельки. Вредоносное ПО использует хитроумный метод, чтобы избежать обнаружения или отключения. Оно не использует фиксированный адрес сервера, а получает новые команды через электронную почту, используя заранее настроенные учетные записи Gmail, что позволяет хакерам обновлять команды, отправляя новые электронные письма. В отчете указано, что вредоносное ПО использует жестко закодированные учетные данные для входа в свои электронные почтовые аккаунты. Вредоносное ПО получает свои команды и контроль из (C2) сервера. Этот метод помогает поддерживать постоянство и избегать сетевого уровня обнаружения или очистки. Если вредоносное ПО не может подключиться к электронному почтовому аккаунту, оно использует жестко закодированный запасной C2-адрес. Пользователям приложений, таких как WhatsApp, рекомендуется с осторожностью относиться к любым ссылкам, которые они получают, даже если они поступают от доверенных контактов. Осторожным подходом будет отправить сообщение отправителю через другое приложение, чтобы подтвердить законность ссылки. Кроме того, пользователи должны быть настороже к ссылкам, которые были случайно отправлены в условиях ограниченной контекстной информации. Обновление программного обеспечения может предотвратить эксплуатацию уязвимостей старых версий, а антивирусное ПО может помочь выявить потенциальные проблемы. В случае атаки хакеров необходимо немедленно заморозить все входы к банковским и криптовалютным услугам, чтобы предотвратить дальнейшие потери. Отслеживание средств может помочь биржам, исследователям или властям отследить направление активов.