Vigilance face aux campagnes de piratage au Brésil
Les détenteurs de cryptomonnaies au Brésil sont invités à faire preuve de vigilance face à une campagne de piratage sophistiquée impliquant un ver de détournement et un cheval de Troie bancaire diffusés via des messages sur WhatsApp. Selon un rapport récent de l’équipe de recherche en cybersécurité de Trustwave, SpiderLabs, le cheval de Troie bancaire, connu sous le nom d’Eternidade Stealer, est propagé par le biais d’ingénierie sociale sur l’application de messagerie.
Techniques de piratage
Les messages utilisés incluent des informations sur des programmes gouvernementaux fictifs, des notifications de livraison, ainsi que des messages provenant d’amis et de groupes d’investissement frauduleux.
« WhatsApp continue d’être l’un des canaux de communication les plus exploités dans l’écosystème de la cybercriminalité au Brésil. Au cours des deux dernières années, les cybercriminels ont affiné leurs tactiques, utilisant la popularité immense de la plateforme pour distribuer des chevaux de Troie bancaires et des logiciels malveillants de vol d’informations, » ont déclaré les chercheurs de SpiderLabs, Nathaniel Morales, John Basmayor et Nikita Kazymirskyi.
En termes simples, cliquer sur le lien du ver dans WhatsApp déclenche une réaction en chaîne qui infecte la victime à la fois avec le ver et le cheval de Troie bancaire. Le ver détourne le compte de la victime et obtient sa liste de contacts. Il utilise un filtrage intelligent pour ignorer les contacts professionnels et les groupes, ciblant ainsi des contacts individuels pour un processus plus efficace.
Pendant ce temps, le cheval de Troie bancaire est un fichier qui se télécharge automatiquement sur l’appareil de la victime et déploie l’Eternidade Stealer en arrière-plan, capable de scanner les données financières et les identifiants de connexion à une variété de banques brésiliennes ainsi qu’à des échanges ou portefeuilles de cryptomonnaies.
Évasion et détection
Le logiciel malveillant a également une méthode astucieuse pour éviter la détection ou d’être arrêté. Au lieu d’avoir une adresse de serveur fixe, il utilise un compte Gmail préétabli pour vérifier les nouvelles commandes par email, permettant ainsi aux hackers de modifier les commandes en envoyant de nouveaux emails.
« Une caractéristique notable de ce logiciel malveillant est qu’il utilise des identifiants codés en dur pour se connecter à son compte email, à partir duquel il récupère son serveur C2. C’est une manière très astucieuse de mettre à jour son C2, de maintenir la persistance et d’échapper aux détections ou aux interruptions au niveau du réseau. Si le logiciel malveillant ne peut pas se connecter au compte email, il utilise une adresse C2 de secours codée en dur, » indique le rapport.
Conseils de sécurité
Les utilisateurs d’applications telles que WhatsApp sont conseillés de faire preuve de prudence avec tout lien qui leur est envoyé, même s’il provient d’un contact de confiance. Une tactique utile consiste à envoyer un message via une autre application pour confirmer si le lien est sûr, et à se méfier des liens envoyés sans contexte.
Garder les logiciels à jour peut également aider à protéger contre les vulnérabilités ciblant les anciennes versions, tandis que les logiciels antivirus peuvent signaler des problèmes potentiels. Si quelqu’un a été piraté, il est crucial de geler immédiatement tous les points d’accès aux services bancaires et aux cryptomonnaies pour stopper la fuite.
Suivre les fonds peut également aider les échanges, les chercheurs ou les autorités à retracer les actifs, ce qui peut leur permettre de geler les portefeuilles des hackers.
