Автор Chao Cheng Zedong тема Новости

Опасный вирус в WhatsApp угрожает криптокошелькам в Бразилии

Опасный вирус в WhatsApp угрожает криптокошелькам в Бразилии

Владельцам криптовалют в Бразилии рекомендуется обратить внимание на новую сложную хакерскую кампанию, в которую входят вирус-червь и банковский троян, распространяющиеся через сообщения в WhatsApp.

Согласно последнему докладу исследовательской группы по кибербезопасности SpiderLabs от компании Trustwave, банковский троян, известный как «Eternidade Stealer», распространяется через социальную инженерию в приложении для обмена сообщениями WhatsApp, используя такие уловки, как «поддельные государственные программы, уведомления о доставке», сообщения от друзей и мошеннические инвестиционные группы.

«WhatsApp продолжает быть одним из наиболее эксплуатируемых каналов в экосистеме киберпреступлений в Бразилии. За последние два года злоумышленники усовершенствовали свои тактики, используя огромную популярность платформы для распространения банковских троянов и вредоносного ПО для кражи информации,» отмечают исследователи Spiderlabs Натаниэль Моралес, Джон Басмайор и Никита Казимирский.

Объясняя процесс простым языком, при нажатии на ссылку на червь в WhatsApp запускается цепная реакция, заразившая жертву как червем, так и банковским трояном.

Червь перехватывает учетную запись и получает список контактов жертвы. Он использует «умную фильтрацию», чтобы игнорировать деловые контакты и группы, нацеливаясь на личные контакты для более эффективной атаки.

Тем временем, банковский троян — это файл, автоматически загружаемый на устройство жертвы, который задействует «Eternidade Stealer» в фоновом режиме и может сканировать финансовые данные и логины для ряда бразильских банков, финтех-компаний или криптобирж и кошельков.

Инфографика, объясняющая, как вредоносное ПО атакует устройства и как развивается хакерская атака. Источник: SpiderLabs

Малварь также использует хитрые способы избежать обнаружения или остановки. Вместо фиксированного адреса сервера, она использует заранее заданный аккаунт gmail для получения новых команд через электронную почту. Это позволяет хакерам изменять команды, отправляя новые письма.

«Одна из примечательных особенностей этого вредоносного ПО заключается в том, что оно использует жестко заданные учетные данные для входа в свой почтовый аккаунт, откуда оно получает C2 сервер. Это очень умный способ обновления C2, поддержания устойчивости и уклонения от обнаружений или закрытия на уровне сети. Если вредоносное ПО не может подключиться к почтовому аккаунту, оно использует жестко заданный резервный C2 адрес,» говорится в отчете.

Как оставаться в безопасности

Пользователям таких приложений, как WhatsApp, рекомендуется соблюдать осторожность при переходе по любой ссылке, даже если она получена от надежного контакта.

Полезной тактикой может быть сообщение через другое приложение, чтобы подтвердить, что ссылка безопасна, и быть подозрительным к неожиданным ссылкам с ограниченным контекстом.

Поддерживание программного обеспечения в актуальном состоянии также может помочь защитить людей от потенциальных уязвимостей, нацеленных на старые версии, а антивирусное ПО может помочь выявлять проблемы.

Если кто-то подвергся атаке, важно немедленно заблокировать все возможные точки доступа к банковским и криптоуслугам, чтобы предотвратить дальнейшее нанесение ущерба. Отслеживание средств также может помочь биржам, исследователям или властям отследить, куда уходят активы, что может помочь им заморозить кошельки хакеров.