Um novo malware distribuído pelo WhatsApp visa roubar fundos e criptomoedas de brasileiros. Os alvos dos hackers são 15 bancos tradicionais, 3 serviços de pagamento, 17 corretoras de criptomoedas e 12 carteiras de criptomoedas.
Pesquisadores da SpiderLabs apelidaram o malware de “Eternidade” e afirmam que ameaças semelhantes estão rodando desde janeiro deste ano.
Recentemente, um Kaspersky fez um alerta sobre o malware Mavericktambém distribuído pelo WhatsApp e com foco em vítimas brasileiras. Este trojan monitora os acessos da vítima para 26 bancos brasileiros, bem como 6 corretoras de criptomoedas e 1 plataforma de pagamento.
🟠Receba consultoria em Bitcoin com os maiores especialistas do mercado.
Empresa de segurança dá detalhes sobre novo malware com foco no Brasil
As investigações revelam que o malware Eternidade possui um modelo de mensagens baseado na localização atual. Como exemplo, se uma mensagem enviada antes do meio-dia, então será um “bom dia”, seguido do nome do contato.
O código acima também mostra o envio de uma segunda mensagem escrita “Segue o arquivo solicitado. Qualquer dúvida estou à disposição!” junto a um arquivo.
Outro detalhe é que o malware verifica o idioma do sistema operacional. Caso não fique em português do Brasil, sua execução será abortada.
Caso a vítima abra o arquivo infectado, os golpistas iniciarão uma coleta de dados no dispositivo.
“O ladrão procura especificamente por aplicativos associados a bancos brasileiros, serviços de pagamento e carteiras/corretoras de criptomoedas para coletar credenciais.”
- Bancos:
Santander
Banco do Brasil
Banrisul
Tribanco
Bradesco
Sicredi
Sicoob
BMG
BTG Pactual
BS2
Itaú
Caixa Econômica Federal (CEF)
Banco Mercantil
Banco do Nordeste (BNB)
Banco da Amazônia - Serviços de pagamento:
Mercado Pago
RecargaPay
Listra - Corretoras de criptomoedas:
Binância
OKX
Cripto.com
Base de moedas
Foxbit
Novadax
Bitget
Bybit
Coinext
Kucoin
Kraken
Carimbo de bits
Bitfinex
Poloniex
Huobi
Portão.io
Gêmeos - Carteiras de criptomoedas:
Eletro
Êxodo
Carteira Atômica
MetaMask
Razão ao vivo
Carteira Confiável
Blockchain.com
Coinomi
Carteira Fantasma
Solflare
TokenPocket
Carteira Matemática
“Ele verifica continuamente janelas ativas e processos em execução em busca de strings associadas a portais bancários brasileiros, serviços de fintech e plataformas de criptomoedas.”
“Quando detecta uma correspondência, por exemplo, um título de janela ou nome de processo ligado ao Bradesco, BTG Pactual, Binance, Coinbase, MetaMask, Trust Wallet ou outra marca financeira, o malware imediatamente descriptografa e ativa sua carga útil na próxima etapa”explicam os pesquisadores. “Esse comportamento reflete uma tática clássica de “banker” ou “overlay-stealer”, em que componentes maliciosos permanecem inativos até que a vítima abra um aplicativo bancário ou carteira-alvo, garantindo que o ataque seja acionado apenas em contextos relevantes e invisível para usuários comuns ou ambientes de sandbox.”
Caso encontre alguma correspondência, o malware então ativa um segundo servidor.
Segundo os pesquisadores, eles usam credenciais codificadas para fazer login em sua conta de e-mail para obter contato com tal servidor, dificultando detecções e dificultando seu abate.
Outra funcionalidade do trojan é o roubo dos contatos do WhatsApp. Outros dados coletados são nome do computador, versão do sistema operacional, IPs públicos e locais, dados e hora atual, dentre outros.
Além disso, os pesquisadores destacam que uma ameaça também faz buscas para saber qual anti-vírus está sendo utilizado para então tomar decisões futuras.
O malware também cria campos falsos para roubar senhas
Após uma análise, os pesquisadores também notaram que o malware Eternidade altera sites. Com isso, as senhas digitalizadas são enviadas diretamente para seus servidores.
“O malware também implementa overlays bancários ocultos direcionados à CAIXA Econômica Federal e ao Banco do Brasil. Isso faz com que a vítima insira informações bancárias no overlay, em vez da interface legítima, essas informações são exfiltradas para o servidor C2.”
Como conclusão, os pesquisadores do SpiderLabs se mostram preocupados com o uso do WhatsApp como vetor de distribuição, bem como pelo desenvolvimento contínuo do malware.
Fonteslivecoins
