Новий вкрай шкідливий криптотроян під назвою Eternidade Stealer почав поширюватися через WhatsApp‑повідомлення. Після зараження зловмисники отримють доступи до криптообмінників та гаманців. Під загрозою криптовалютні платформи Binance, OKX, Coinbase, Kraken, Bybit MetaMask, Trust Wallet, Ledger Live, Phantom, тощо.

Розповсюдження вірусу почалося з Бразилії, але зараз під загрозою весь світ. За даними дослідників Trustwave SpiderLabs, кампанія стартує з VBScript‑файлу, який через пакет запускає два модулі: Python‑черв’яка, що захоплює список контактів WhatsApp жертви, та MSI‑інсталятор, який запускає Eternidade Stealer.

Черв’як викрадає контакти, фільтруючи групи та бізнес‑акаунти, і відправляє дані (номер, ім’я, чи збережений контакт) через HTTP POST на C2‑сервер. Якщо мова ОС — бразильська португальська, троян сканує вікна та процеси на наявність фінансових сервісів та криптовалютних платформ і лише тоді активується.

Інфраструктура управління використовує IMAP‑з’єднання до поштової скриньки для динамічного отримання адреси C2; це ускладнює блокування та дає змогу зловмисникам гнучко змінювати сервери. Дослідники відзначили геофенсинг: з 454 спроб з’єднання до переадресатора 452 були заблоковані через IP поза Бразилією та Аргентиною.

Ознаками загрози є: несподіване повідомлення у WhatsApp із вкладенням, запуск .MSI чи скриптів без вашої ініціативи, підозріла активність у криптовалютних додатках чи гаманцях. Експерти радять користувачам криптовалют у регіоні: не відкривати файли чи посилання, отримані через WhatsApp, якщо не впевнені в джерелі; перевіряти відправника окремо; тримати програмне забезпечення й антивірус оновленими; у разі сумнівів — заморожувати доступи до бірж і гаманців, щоб зупинити рух коштів.

Нагадаємо, що WhatsApp — не єдиний спосіб залізти у криптогаманці. Так, чотири місяці тому троян викрав $150 тис. у користувачів верифікованої безкоштовної Steam-гри Chemia, і майже в той же час хакерське ПЗ знайшли у ШІ Amazon Q.

Троянець орієнтований на значну кількість крипто‑гаманців і бірж. Зокрема, Eternidade Stealer містить сигнатури для пошуку додатків таких, як Electrum, Exodus, Trust Wallet, MetaMask та й кількох десятків бірж: Binance, OKX, Crypto.com, KuCoin, Bitfinex. Аналіз інфраструктури показав, що хоча атака фокусована на Бразилію, спроби зараження зафіксовано з 38 країн — зокрема США (196 з’єднань) та Європи.

Джерело: TrustWave