Attenzione ai possessori di criptovalute in Brasile
I possessori di criptovalute in Brasile sono avvisati di prestare attenzione a una sophisticata campagna di hacking che include un worm di dirottamento e un trojan bancario, diffusi tramite messaggi su WhatsApp. Secondo un recente rapporto del team di ricerca sulla cybersecurity di Trustwave, SpiderLabs, il trojan bancario, noto come “Eternidade Stealer”, viene propagato attraverso ingegneria sociale sull’app di messaggistica, utilizzando “falsi programmi governativi, notifiche di consegna”, messaggi da amici e gruppi di investimento fraudolenti.
“WhatsApp continua a essere uno dei canali di comunicazione più sfruttati nell’ecosistema del crimine informatico in Brasile. Negli ultimi due anni, gli attori delle minacce hanno affinato le loro tattiche, sfruttando l’immensa popolarità della piattaforma per distribuire trojan bancari e malware che rubano informazioni,” hanno dichiarato i ricercatori di SpiderLabs Nathaniel Morales, John Basmayor e Nikita Kazymirskyi.
Come funziona l’attacco
Spiegando il processo in termini semplici, cliccare sul link del worm in WhatsApp innesca una reazione a catena che infetta la vittima sia con il worm che con il trojan bancario. Il worm dirotta l’account e ottiene la lista dei contatti della vittima, utilizzando un “filtraggio intelligente” per ignorare i contatti aziendali e i gruppi, mirando a contatti individuali per un processo più efficiente. Nel frattempo, il trojan bancario è un file scaricato automaticamente sul dispositivo della vittima che distribuisce l’Eternidade Stealer in background, in grado di scansionare dati finanziari e accessi a una gamma di banche brasiliane e scambi o portafogli crypto.
Il malware ha anche un modo astuto per evitare il rilevamento o di essere chiuso. Invece di avere un indirizzo server fisso, utilizza un’email preimpostata per controllare nuovi comandi via email. Questo consente agli hacker di cambiare i comandi inviando nuove email. “Una caratteristica notevole di questo malware è che utilizza credenziali hardcoded per accedere al proprio account email, da cui recupera il suo server C2. È un modo molto intelligente per aggiornare il suo C2, mantenere la persistenza e sfuggire ai rilevamenti o ai blocchi a livello di rete. Se il malware non riesce a connettersi all’account email, utilizza un indirizzo C2 di riserva hardcoded,” si legge nel rapporto.
Come rimanere al sicuro
Gli utenti di app come WhatsApp sono invitati a procedere con cautela riguardo a qualsiasi link inviato loro, anche se proviene da un contatto fidato. Una tattica utile può essere quella di inviare un messaggio su un’app separata per confermare se il link è sicuro e di essere sospettosi di un link inviato all’improvviso senza un contesto. Mantenere il software aggiornato può anche aiutare a proteggere le persone da potenziali vulnerabilità che prendono di mira versioni più vecchie, mentre il software antivirus può contribuire a segnalare problemi.
Se qualcuno è stato hackerato, è importante congelare immediatamente tutti i potenziali punti di accesso ai servizi bancari e crypto per fermare la perdita. Monitorare i fondi può anche aiutare gli scambi, i ricercatori o le autorità a tracciare dove stanno andando gli asset, potenzialmente aiutandoli a congelare i portafogli degli hacker.
