Власників бразильських криптовалют закликають стежити за складною хакерською кампанією, яка включає хробака-зловмисника та банківського трояна, які поширюються через повідомлення WhatsApp.
Згідно з новим звітом дослідницької групи Trustwave з питань кібербезпеки SpiderLabs, банківський троян, відомий як «Eternidade Stealer», просувається за допомогою соціальної інженерії в додаток для обміну повідомленнями WhatsApp, наприклад «фальшиві урядові програми, повідомлення про доставку», повідомлення від друзів і шахрайських інвестиційних груп.
“WhatsApp продовжує залишатися одним із найбільш використовуваних каналів зв’язку в бразильській екосистемі кіберзлочинності. За останні два роки зловмисники вдосконалили свою тактику, використовуючи величезну популярність платформи для розповсюдження банківських троянів і зловмисного програмного забезпечення, що викрадає інформацію”, – заявили дослідники Spiderlabs Натаніель Моралес, Джон Басмайор і Микита Казимірський.
Якщо пояснювати процес простою мовою, то клацання посилання на хробака в WhatsApp запускає ланцюгову реакцію, яка заражає жертву як хробаком, так і банківським трояном.
Хробак захоплює обліковий запис і отримує список контактів жертви. Він використовує «розумну фільтрацію», щоб ігнорувати ділові контакти та групи для націлювання на окремі контакти для більш ефективного процесу.
Тим часом банківський троян — це файл, який автоматично завантажується на пристрій жертви, який розгортає Eternidade Stealer у фоновому режимі, здатний сканувати фінансові дані та логіни в низці бразильських банків, фінтех або криптовалютних бірж і гаманців.
За темою: крадіжка закритого ключа криптовалюти тепер є великим бізнесом: ось що потрібно знати
Зловмисне програмне забезпечення також має розумний спосіб уникнути виявлення або відключення. Замість фіксованої адреси сервера він використовує попередньо встановлений обліковий запис gmail для перевірки нових команд електронною поштою. Це дозволяє хакерам змінювати команди, надсилаючи нові електронні листи.
“Однією з помітних особливостей цього зловмисного програмного забезпечення є те, що воно використовує жорстко закодовані облікові дані для входу в обліковий запис електронної пошти, з якого отримує свій сервер C2. Це дуже розумний спосіб оновити свій C2, підтримувати постійність і уникнути виявлення чи видалення на мережевому рівні. Якщо зловмисне програмне забезпечення не може підключитися до облікового запису електронної пошти, воно використовує жорстко закодовану резервну адресу C2”, – йдеться у звіті.
Як залишатися в безпеці
Користувачам таких додатків, як WhatsApp, рекомендується з обережністю ставитися до будь-яких посилань, надісланих їм, навіть якщо вони надходять від надійних контактів.
Корисною тактикою може бути надсилання їм повідомлення в окремій програмі, щоб переконатися, що посилання правильне, і бути підозрілим щодо посилання, надісланого раптово з обмеженим контекстом.
Оновлення програмного забезпечення також може допомогти захистити людей від потенційних помилок, пов’язаних зі старішими версіями, тоді як антивірусне програмне забезпечення також потенційно може допомогти помітити проблеми.
Якщо когось зламали, важливо негайно заморозити всі потенційні точки доступу до банківських і криптовалютних послуг, щоб зупинити кровотечу. Відстеження коштів також може допомогти біржам, дослідникам або органам влади відстежувати, куди йдуть активи, потенційно допомагаючи їм заморозити гаманці хакерів.
