Знову небезпека: новий вірус через WhatsApp атакує користувачів популярних криптовалютних сервісів

Новый крайне вредоносный криптотроян под названием Eternidade Stealer начал распространяться через WhatsApp-сообщения. После заражения злоумышленники получат доступы к криптообменникам и кошелькам. Под угрозой криптовалютные платформы Binance, OKX, Coinbase, Kraken, Bybit MetaMask, Trust Wallet, Ledger Live, Phantom и др.

Распространение вируса началось с Бразилии, но сейчас под угрозой весь мир. По данным исследователей Trustwave SpiderLabs, кампания стартует с VBScript-файла, который через пакет запускает два модуля: Python-червя, захватывающего список контактов WhatsApp жертвы, и MSI-инсталлятор, который запускает Eternidade Stealer.

Червь похищает контакты, фильтруя группы и бизнес-аккаунты, и отправляет данные (номер, имя, или сохраненный контакт) через HTTP POST на C2-сервер. Если язык ОС — бразильский португальский, троян сканирует окна и процессы на наличие финансовых сервисов и криптовалютных платформ и только тогда активируется.

Инфраструктура управления использует IMAP-соединение к почтовому ящику для динамического получения адреса C2; это затрудняет блокировку и позволяет злоумышленникам гибко менять серверы. Исследователи отметили геофенсинг: из 454 попыток соединения с переадресатором 452 были заблокированы из-за IP вне Бразилии и Аргентины.

Признаками угрозы являются: неожиданное сообщение в WhatsApp с вложением, запуск .MSI или скриптов без вашей инициативы, подозрительная активность в криптовалютных приложениях или кошельках. Эксперты советуют пользователям криптовалют в регионе: не открывать файлы или ссылки, полученные через WhatsApp, если не уверены в источнике; проверять отправителя отдельно; держать программное обеспечение и антивирус обновленными; в случае сомнений — замораживать доступы к биржам и кошелькам, чтобы остановить движение средств.

Напомним, что WhatsApp — не единственный способ залезть в криптокошельки. Так, четыре месяца назад троян похитил $150 тыс. у пользователей верифицированной бесплатной Steam-игры Chemia, и почти в то же время хакерское ПО нашли в ИИ Amazon Q.

Троянец ориентирован на значительное количество крипто-кошельков и бирж. В частности, Eternidade Stealer содержит сигнатуры для поиска приложений таких, как Electrum, Exodus, Trust Wallet, MetaMask и нескольких десятков бирж: Binance, OKX, Crypto.com, KuCoin, Bitfinex. Анализ инфраструктуры показал, что хотя атака фокусируется на Бразилию, попытки заражения зафиксированы из 38 стран — в частности США (196 соединений) и Европы.

Источник: TrustWave