Advertencia sobre Campaña de Hacking en Brasil
Se insta a los poseedores de criptomonedas en Brasil a estar atentos a una sofisticada campaña de hacking que incluye un gusano de secuestro y un troyano bancario, los cuales se comparten a través de mensajes de WhatsApp. Según un nuevo informe del equipo de investigación en ciberseguridad SpiderLabs de Trustwave, el troyano bancario, conocido como Eternidade Stealer, se promueve mediante ingeniería social en la aplicación de mensajería WhatsApp, utilizando tácticas como programas gubernamentales falsos, notificaciones de entrega, mensajes de amigos y grupos de inversión fraudulentos.
«WhatsApp sigue siendo uno de los canales de comunicación más explotados en el ecosistema de cibercrimen de Brasil. En los últimos dos años, los actores de amenazas han refinado sus tácticas, aprovechando la inmensa popularidad de la plataforma para distribuir troyanos bancarios y malware que roba información»
afirmaron los investigadores de SpiderLabs, Nathaniel Morales, John Basmayor y Nikita Kazymirskyi.
Funcionamiento del Malware
Explicando el proceso de manera sencilla, hacer clic en el enlace del gusano en WhatsApp desencadena una reacción en cadena que infecta a la víctima tanto con el gusano como con el troyano bancario. El gusano secuestra la cuenta y obtiene la lista de contactos de la víctima, utilizando un filtrado inteligente para ignorar contactos comerciales y grupos, enfocándose en contactos individuales para un proceso más eficiente.
Por su parte, el troyano bancario se descarga automáticamente en el dispositivo de la víctima y despliega el Eternidade Stealer en segundo plano, lo que le permite escanear datos financieros y credenciales de acceso a una variedad de bancos brasileños, así como plataformas de fintech, intercambios y billeteras de criptomonedas.
Evasión de Detección
El malware también tiene una forma ingeniosa de evitar la detección o ser desactivado. En lugar de tener una dirección de servidor fija, utiliza una cuenta de Gmail preestablecida para verificar nuevos comandos a través de correo electrónico. Esto permite a los hackers cambiar comandos enviando nuevos correos electrónicos.
«Una característica notable de este malware es que utiliza credenciales codificadas para iniciar sesión en su cuenta de correo electrónico, desde la cual recupera su servidor C2. Es una forma muy inteligente de actualizar su C2, mantener la persistencia y evadir detecciones o desactivaciones a nivel de red. Si el malware no puede conectarse a la cuenta de correo electrónico, utiliza una dirección C2 de respaldo codificada»
señala el informe.
Consejos de Seguridad
¿Cómo mantenerse seguro? Se aconseja a los usuarios de aplicaciones como WhatsApp que procedan con precaución ante cualquier enlace que se les envíe, incluso si proviene de un contacto de confianza. Una táctica útil puede ser enviar un mensaje a la persona en una aplicación diferente para confirmar si el enlace es seguro, y ser cauteloso con enlaces enviados repentinamente sin un contexto claro.
Mantener el software actualizado también puede ayudar a proteger a las personas de posibles vulnerabilidades que afectan a versiones más antiguas, mientras que el software antivirus puede ayudar a detectar problemas. Si alguien ha sido hackeado, es crucial congelar de inmediato todos los puntos de acceso potenciales a servicios bancarios y de criptomonedas para detener la fuga de información. Rastrear fondos también puede ayudar a intercambios, investigadores o autoridades a seguir el rastro de los activos, lo que potencialmente les permite congelar las billeteras de los hackers.
