Бразильским держателям криптовалюты настоятельно рекомендуется быть в курсе сложной хакерской кампании, которая включает в себя червя-перехватчика и банковского трояна, распространяемых через сообщения WhatsApp.
Согласно новому отчету исследовательской группы SpiderLabs компании Trustwave по кибербезопасности, банковский троян, известный как «Eternidade Stealer», внедряется с помощью социальной инженерии в приложение обмена сообщениями WhatsApp, например, «поддельные правительственные программы, уведомления о доставке», сообщения от друзей и мошеннических инвестиционных групп.
“WhatsApp по-прежнему остается одним из наиболее используемых каналов связи в экосистеме киберпреступности Бразилии. За последние два года злоумышленники усовершенствовали свою тактику, используя огромную популярность платформы для распространения банковских троянов и вредоносного ПО для кражи информации”, – заявили исследователи Spiderlabs Натаниэль Моралес, Джон Басмайор и Никита Казимирский.
Объясняя процесс с точки зрения непрофессионала, щелчок по ссылке-червю в WhatsApp запускает цепную реакцию, которая заражает жертву как червем, так и банковским трояном.
Червь захватывает учетную запись и получает список контактов жертвы. Он использует «умную фильтрацию», чтобы игнорировать деловые контакты и группы и ориентироваться на отдельные контакты для более эффективного процесса.
Между тем, банковский троян представляет собой файл, автоматически загружаемый на устройство жертвы, который в фоновом режиме развертывает Eternidade Stealer, способный сканировать финансовые данные и логины в ряде бразильских банков, а также финтех- или криптовалютных бирж и кошельков.
По теме: Кража закрытого ключа криптовалюты теперь стала большим бизнесом: вот что нужно знать
У вредоносного ПО также есть хитрый способ избежать обнаружения или отключения. Вместо фиксированного адреса сервера он использует предварительно настроенную учетную запись Gmail для проверки новых команд по электронной почте. Это позволяет хакерам изменять команды, отправляя новые электронные письма.
“Одной примечательной особенностью этого вредоносного ПО является то, что оно использует жестко закодированные учетные данные для входа в свою учетную запись электронной почты, откуда оно получает свой сервер C2. Это очень умный способ обновить свой C2, поддерживать постоянство и избежать обнаружения или удаления на сетевом уровне. Если вредоносное ПО не может подключиться к учетной записи электронной почты, оно использует жестко закодированный резервный адрес C2”, – говорится в отчете.
Как оставаться в безопасности
Пользователям таких приложений, как WhatsApp, рекомендуется с осторожностью относиться к любой ссылке, отправленной им, даже если она исходит от надежного контакта.
Полезной тактикой может быть отправка им сообщения в отдельном приложении, чтобы подтвердить, что ссылка в порядке, и с подозрением относиться к ссылке, отправленной неожиданно с ограниченным контекстом.
Постоянное обновление программного обеспечения также может помочь защитить людей от потенциальных ошибок, связанных с более старыми версиями, а антивирусное программное обеспечение также потенциально может помочь выявить проблемы.
Если кого-то взломали, важно немедленно заморозить все потенциальные точки доступа к банковским и криптовалютным сервисам, чтобы остановить утечку. Отслеживание средств также может помочь биржам, исследователям или властям отслеживать, куда направляются активы, что потенциально помогает им заморозить хакерские кошельки.
