Внимание к хакерской кампании в Бразилии
Бразильским держателям криптовалюты настоятельно рекомендуется быть внимательными к сложной хакерской кампании, которая включает в себя червя-взломщика и банковский троян, распространяемые через сообщения WhatsApp. Согласно новому отчету исследовательской группы по кибербезопасности Trustwave SpiderLabs, банковский троян, известный как «Eternidade Stealer», распространяется с помощью социальной инженерии в мессенджере WhatsApp, используя такие методы, как «фальшивые государственные программы», уведомления о доставке, сообщения от друзей и мошеннические инвестиционные группы.
«WhatsApp продолжает оставаться одним из самых эксплуатируемых каналов связи в экосистеме киберпреступности Бразилии. За последние два года злоумышленники усовершенствовали свои тактики, используя огромную популярность платформы для распространения банковских троянов и вредоносного ПО для кражи информации,» — заявили исследователи SpiderLabs Натаниль Моралес, Джон Басмайор и Никита Казымирский.
Как работает вредоносное ПО
Объясняя процесс простыми словами, нажатие на ссылку червя в WhatsApp запускает цепную реакцию, которая заражает жертву как червем, так и банковским трояном. Червь захватывает аккаунт и получает список контактов жертвы. Он использует «умную фильтрацию», чтобы игнорировать бизнес-контакты и группы, нацеливаясь на отдельных пользователей для более эффективного процесса.
Тем временем, банковский троян — это файл, который автоматически загружается на устройство жертвы и запускает Eternidade Stealer в фоновом режиме, позволяя ему сканировать финансовые данные и логины к различным бразильским банкам, финтехам, криптобиржам и кошелькам. Инфографика объясняет, как вредоносное ПО атакует устройства и как прогрессирует взлом.
Избежание обнаружения
Вредоносное ПО также имеет хитрый способ избежать обнаружения или отключения. Вместо того чтобы иметь фиксированный адрес сервера, оно использует заранее установленный аккаунт Gmail для проверки новых команд по электронной почте. Это позволяет хакерам изменять команды, отправляя новые электронные письма.
«Одной из примечательных особенностей этого вредоносного ПО является то, что оно использует жестко закодированные учетные данные для входа в свой почтовый аккаунт, откуда получает доступ к своему C2 серверу. Это очень умный способ обновления своего C2, поддержания постоянства и уклонения от обнаружения или отключения на уровне сети. Если вредоносное ПО не может подключиться к почтовому аккаунту, оно использует жестко закодированный резервный адрес C2,» — говорится в отчете.
Как оставаться в безопасности
Пользователям приложений, таких как WhatsApp, рекомендуется проявлять осторожность с любыми ссылками, отправленными им, даже если они от надежного контакта. Полезной тактикой может быть отправка сообщения в отдельном приложении, чтобы подтвердить, что ссылка безопасна, и быть подозрительными к ссылкам, отправленным неожиданно и без контекста.
Обновление программного обеспечения также может помочь защитить пользователей от потенциальных уязвимостей, нацеленных на устаревшие версии, в то время как антивирусное программное обеспечение может помочь выявить проблемы. Если кто-то был взломан, важно немедленно заморозить все потенциальные точки доступа к банковским и криптоуслугам, чтобы остановить утечку.
Отслеживание средств также может помочь биржам, исследователям или властям отследить, куда идут активы, что потенциально может помочь заморозить кошельки хакеров.
