Um vírus do WhatsApp dissemina um trojan baseado em Python para roubo dedentbancárias e de criptomoedas no Brasil.

Um novo worm que se propaga pelo WhatsApp está infectando dispositivos no Brasil, distribuindo um trojan bancário chamado Eternidade Stealer, que roubadentde carteiras de criptomoedas e serviços financeiros.

De acordo com as descobertas dos pesquisadores Nathaniel Morales, John Basmayor e Nikita Kazymirskyi, da empresa de segurança Web3 Trustwave SpiderLabs, a operação utiliza o Protocolo de Acesso a Mensagens da Internet (IMA) para obter detalhes de comando e controle sob demanda. Os dados roubados podem ajudar um agente malicioso a rotacionar servidores e evitar interrupções à medida que o malware se espalha.

"Ele usa o Protocolo de Acesso a Mensagens da Internet (IMAP) para recuperar dinamicamente os endereços de comando e controle (C2), permitindo que o agente da ameaça atualize seu servidor C2", escreveram na página do blog da empresa na quarta-feira.

Os investigadores afirmaram que os atacantes abandonaram os scripts antigos do PowerShell e agora estão usando uma abordagem baseada em Python para sequestrar o WhatsApp e distribuir arquivos maliciosos.

O ladrão de Eternidade oculta sua atividade por meio de VBScript.

Segundo o relatório da Trustwave SpiderLabs, o ataque começa com um VBScript ofuscado, cujos comentários estão escritos principalmente em português.

O worm em Python usa um código mais curto e ágil para automatizar a atividade do WhatsApp,traclistas de contatos completas por meio das bibliotecas wppconnect, mensagens de saudação personalizadas com base na hora do dia e inserindo os nomes dos destinatários em mensagens contendo anexos maliciosos.

Uma função central, chamada “obter_contatos”, permite que o malware roube toda a agenda de contatos do WhatsApp . Para cada contato, o worm coleta o número de telefone e o nome para descobrir se a pessoa está salva localmente e se possui um dispositivo que possa ser invadido.

Os dados são transmitidos para um servidor controlado pelo atacante por meio de uma solicitação HTTP POST, onde, após a coleta, um worm envia um anexo malicioso para cada contato usando um modelo de mensagem predefinido.

O instalador MSI implanta um trojan bancário localizado.

A segunda etapa do ataque começa quando o instalador MSI instala vários componentes, incluindo um script AutoIt que verifica imediatamente se o idioma do dispositivo está definido como português brasileiro. 

Nos casos em que o sistema não atende a essa condição, o malware é desativado, o que pode significar que os agentes da ameaça pretendem atingir apenas usuários no Brasil.

Quando a verificação de localidade é aprovada, o script examina os processos em execução e as chaves de registro em busca de indícios de ferramentas de segurança. Ele também cria um perfil do dispositivo e envia detalhes do sistema de volta para o servidor de comando e controle dos invasores.

O ataque termina com o malware injetando o payload Eternidade Stealer no “svchost.exe” usando um processo que oculta código malicioso em processos legítimos do Windows, conhecido como “hollowing”.

A Eternidade Stealer monitora continuamente janelas e processos ativos em busca de strings relacionadas a serviços financeiros, incluindo alguns dos maiores bancos do Brasil e plataformas fintech internacionais. 

Algumas das empresas financeiras mencionadas pela Trustwave incluem Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, ao lado das empresas de criptografia Binance, Coinbase, MetaMask e Trust Wallet.

Os trojans bancários brasileiros permanecem, em sua maioria, inativos até que a vítima abra um dos aplicativos financeiros. Nesse momento, eles ativam sobreposições ou rotinas de coleta dedentsendo completamente invisíveis para usuários comuns ou ferramentas automatizadas de análise de segurança.

O geofencing de malware limita os ataques a usuários brasileiros do WhatsApp. 

A Trustwave SpiderLabs também compartilhou estatísticas do painel, que revelaram que o malware restringe o acesso a sistemas fora do Brasil e da Argentina. Das 454 tentativas de comunicação registradas, 452 foram bloqueadas devido a regras de geolocalização. Apenas duas conexões foram permitidas e redirecionadas para o domínio malicioso real, e as tentativas bloqueadas foram redirecionadas para uma página de erro genérica.

Das tentativas de conexão falhas, 196 vieram dos Estados Unidos, seguidos pela Holanda, Alemanha, Reino Unido e França. O Windows representou a maior parte das tentativas de conexão do sistema, com 115, embora os registros também incluíssem 94 conexões em macOS, 45 em Linux e 18 em dispositivos Android.

A descoberta ocorre semanas depois de a Trustwave ter encontrado outra operação denominada “Water Saci” se espalhando pelo WhatsApp Web usando um worm chamado SORVEPOTEL. Esse malware é um canal para o Maverick, um trojan bancário baseado em NET que veio de uma família anterior conhecida como Coyote, conforme relatado na semana passada.

Junte-se a uma comunidade premium de negociação de criptomoedas gratuitamente por 30 dias - normalmente US$ 100/mês.