Un gusano informático de WhatsApp propaga en Brasil un troyano basado en Python que robadentbancarias y de criptomonedas.

Un nuevo gusano que se propaga por WhatsApp está infectando dispositivos en Brasil, distribuyendo un troyano bancario llamado Eternidade (Eternidad) Stealer que robadentpara billeteras de criptomonedas y servicios financieros.

Según las conclusiones de los investigadores Nathaniel Morales, John Basmayor y Nikita Kazymirskyi de SpiderLabs, empresa de seguridad Web3, la operación utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) para obtener información de comando y control bajo demanda. Los datos robados pueden ayudar al atacante a rotar servidores y evitar interrupciones a medida que el malware se propaga.

“Utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) para recuperar dinámicamente las direcciones de comando y control (C2), lo que permite al atacante actualizar su servidor C2”, escribieron en la página del blog de la compañía el miércoles.

Los investigadores dijeron que los atacantes abandonaron los scripts antiguos de PowerShell y ahora están implementando un enfoque basado en Python para secuestrar WhatsApp y distribuir archivos maliciosos.

El ladrón de Eternidade oculta su actividad mediante VBScript.

Según el informe de Trustwave SpiderLabs, el ataque comienza con un VBScript ofuscado cuyos comentarios están escritos mayoritariamente en portugués.

El gusano de Python utiliza un código más corto y ágil para automatizar la actividad de WhatsApp,traclistas de contactos completas utilizando las bibliotecas wppconnect, saludos personalizados según la hora del día e insertar los nombres de los destinatarios en mensajes que contienen archivos adjuntos maliciosos.

Una función central, denominada «obter_contatos», permite al malware robar toda la libreta de contactos de WhatsApp . Para cada contacto, el gusano recopila el número de teléfono y el nombre para averiguar si la persona está guardada localmente y si dispone de un dispositivo vulnerable.

Los datos se transmiten a un servidor controlado por el atacante a través de una solicitud HTTP POST, donde, tras su recopilación, un gusano envía un archivo adjunto malicioso a cada contacto utilizando una plantilla de mensaje predefinida.

El instalador MSI despliega un troyano bancario localizado.

La segunda fase del ataque comienza una vez que el instalador MSI coloca varios componentes, incluido un script de AutoIt que comprueba inmediatamente si el idioma del dispositivo está configurado en portugués brasileño. 

En los casos en que el sistema no cumpla esta condición, el malware se desactiva, lo que podría significar que los ciberdelincuentes pretenden atacar únicamente a usuarios de Brasil.

Cuando la comprobación de la configuración regional es exitosa, el script analiza los procesos en ejecución y las claves del registro en busca de indicios de herramientas de seguridad. También crea un perfil del dispositivo y envía los detalles del sistema al servidor de comando y control de los atacantes.

El ataque finaliza con la inyección del malware de la carga útil Eternidade Stealer en “svchost.exe” mediante un proceso que oculta código malicioso dentro de procesos legítimos de Windows, conocido como “hollowing”.

Eternidade Stealer monitorea continuamente ventanas y procesos activos en busca de cadenas de caracteres relacionadas con servicios financieros, incluyendo algunos de los bancos más grandes de Brasil y plataformas fintech internacionales. 

Algunas de las empresas financieras mencionadas por Trustwave incluyen Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, junto con las empresas de cifrado Binance, Coinbase, MetaMask y Trust Wallet.

Los troyanos bancarios brasileños permanecen en su mayoría inactivos hasta que la víctima abre una de las aplicaciones financieras. En ese momento, se activan superposiciones o rutinas de robo dedentde forma completamente invisible para los usuarios comunes o las herramientas automatizadas de análisis de seguridad.

El bloqueo geográfico del malware limita los ataques a usuarios brasileños de WhatsApp. 

Trustwave SpiderLabs también compartió estadísticas del panel, que revelaron que el malware restringe el acceso a sistemas fuera de Brasil y Argentina. De 454 intentos de comunicación registrados, 452 fueron bloqueados debido a reglas de geolocalización. Solo se permitieron dos conexiones, que fueron redirigidas al dominio malicioso real, y los intentos bloqueados fueron redirigidos a una página de error genérica.

De los intentos de conexión fallidos, 196 procedían de Estados Unidos, seguido de los Países Bajos, Alemania, el Reino Unido y Francia. Windows representó la mayor parte de los intentos de conexión al sistema, con 115, aunque los registros también incluían 94 conexiones en macOS, 45 en Linux y 18 en dispositivos Android.

El descubrimiento se produce semanas después de que Trustwave detectara otra operación, denominada «Water Saci», que se propagaba a través de WhatsApp Web mediante un gusano llamado SORVEPOTEL. Este malware sirve de conducto para Maverick, un troyano bancario basado en NET perteneciente a una familia anterior conocida como Coyote, tal y como informó la semana pasada.

Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).