Warnung vor Hacking-Kampagne in Brasilien
Brasilianische Krypto-Besitzer werden aufgefordert, auf eine ausgeklügelte Hacking-Kampagne zu achten, die einen Hijacking-Wurm und einen Banking-Trojaner umfasst, die über WhatsApp-Nachrichten verbreitet werden. Laut einem neuen Bericht des Cybersecurity-Forschungsteams SpiderLabs von Trustwave wird der Banking-Trojaner, bekannt als „Eternidade Stealer“, durch Social Engineering auf der Messaging-Anwendung WhatsApp verbreitet, etwa durch „falsche Regierungsprogramme, Lieferbenachrichtigungen“, Nachrichten von Freunden und betrügerische Investmentgruppen.
„WhatsApp bleibt eines der am häufigsten ausgenutzten Kommunikationskanäle im Cybercrime-Ökosystem Brasiliens. In den letzten zwei Jahren haben Bedrohungsakteure ihre Taktiken verfeinert und nutzen die immense Popularität der Plattform, um Banking-Trojaner und informationsstehlende Malware zu verbreiten“, erklärten die SpiderLabs-Forscher Nathaniel Morales, John Basmayor und Nikita Kazymirskyi.
Funktionsweise der Malware
Um den Prozess einfach zu erklären: Das Klicken auf den Wurm-Link in WhatsApp löst eine Kettenreaktion aus, die das Opfer sowohl mit dem Wurm als auch mit dem Banking-Trojaner infiziert. Der Wurm übernimmt das Konto und erlangt die Kontaktliste des Opfers. Er nutzt „intelligente Filterung“, um Geschäftskontakte und Gruppen zu ignorieren, und spricht gezielt einzelne Kontakte an, um einen effizienteren Prozess zu gewährleisten.
In der Zwischenzeit wird der Banking-Trojaner als Datei automatisch auf das Gerät des Opfers heruntergeladen und aktiviert den Eternidade Stealer im Hintergrund, der in der Lage ist, Finanzdaten und Logins zu einer Reihe brasilianischer Banken sowie Fintech- oder Krypto-Börsen und -Wallets zu scannen.
Vermeidung von Erkennung
Die Malware hat auch eine raffinierte Methode entwickelt, um Erkennung oder Abschaltung zu vermeiden. Anstatt eine feste Serveradresse zu verwenden, nutzt sie ein vordefiniertes Gmail-Konto, um neue Befehle per E-Mail abzurufen. Dies ermöglicht es den Hackern, ihre Anweisungen zu ändern, indem sie neue E-Mails senden.
„Ein bemerkenswertes Merkmal dieser Malware ist, dass sie hardcodierte Anmeldeinformationen verwendet, um sich in ihr E-Mail-Konto einzuloggen, von dem aus sie ihren C2-Server abruft. Es ist eine sehr clevere Methode, um ihren C2 zu aktualisieren, Persistenz aufrechtzuerhalten und Erkennungen oder Abschaltungen auf Netzwerkebene zu umgehen. Wenn die Malware keine Verbindung zum E-Mail-Konto herstellen kann, verwendet sie eine hardcodierte Fallback-C2-Adresse“, heißt es in dem Bericht.
Wie man sicher bleibt
Benutzern von Apps wie WhatsApp wird geraten, bei jedem Link, der ihnen gesendet wird, vorsichtig zu sein, selbst wenn er von einem vertrauenswürdigen Kontakt stammt. Eine hilfreiche Taktik kann sein, den Absender über eine separate App zu kontaktieren, um zu bestätigen, ob der Link in Ordnung ist, und misstrauisch gegenüber Links zu sein, die ohne Kontext gesendet werden.
Die Aktualisierung der Software kann auch helfen, Benutzer vor potenziellen Sicherheitslücken zu schützen, die ältere Versionen anvisieren, während Antiviren-Software ebenfalls potenziell helfen kann, Probleme zu kennzeichnen. Wenn jemand gehackt wurde, ist es wichtig, sofort alle potenziellen Zugangspunkte zu Bank- und Krypto-Diensten zu sperren, um den Schaden zu begrenzen. Das Verfolgen von Geldern kann auch Börsen, Forschern oder Behörden helfen, nachzuvollziehen, wohin die Vermögenswerte fließen, was ihnen möglicherweise hilft, Hacker-Wallets einzufrieren.
