Pesquisadores da Trustwave SpiderLabs identificaram uma nova campanha de malware direcionada a usuários brasileiros. A operação combina um minhoca distribuído por meio do WhatsApp com o trojan bancário Eternidade Stealercriando uma cadeia de tecnologia capaz de coletar credenciais de bancos, exchanges e carteiras de criptomoedas.
A investigação aponta que o O ataque começa pela disseminação automática de mensagens enviadas pelo próprio WhatsApp do usuário comprometido. O worm, desenvolvido em Python, automatiza o compartilhamento de arquivos ou links para contatos individuais. Dessa forma, evita listas de transmissão e grupos, o que reduz os mecanismos de detecção e aumenta a chance de sucesso da campanha.
Funcionamento do ataque
Após alcançar o dispositivo, o código malicioso entrega um instalador no formato MSI. Esse instalador libera o trojan Eternidade Stealer, desenvolvido em Delphi. Ó malware monitora aplicativos bancários e carteiras digitais instalados no sistema, Com isso, podem capturar dados sensíveis como senhas, chaves privadas e frases-semente utilizadas em carteiras de criptomoedas.
Com isso, os agentes maliciosos vencem acessar e movimentar ativos financeiros e digitais armazenados pelo usuário, incluindo fundos em exchanges como Binance, Coinbase, Trust Wallet e MetaMask.
Uma análise da Trustwave mostra que um campanha utiliza verificações linguísticas e de geolocalizaçãoo para limitar a infecção a alvos brasileiros. O malware interrompeu sua execução caso o idioma do sistema não esteja definido como português do Brasil.
Além disso, conta com cerca geográfica ativo para restringir ataques ao país e à América do Sul. Mesmo assim, os pesquisadores observaram Esforço de comunicação remota originadas em diversos países, transferem operações paralelas ou sondagens internacionais.
Impactos e riscos para os usuários
A infecção pode gerar uma série de consequências, entre elas a exposição de credenciais bancárias e criptográficasmovimentações financeiras indevidas, captura de chaves privadas e clonagem de agenda de contatos. Outro risco destacado é a dificuldade de identificar o ataquejá que o worm utiliza a própria conta do WhatsApp para enviar mensagens, enquanto o trojan permanece inativo até que aplicativos financeiros sejam abertos.
Boas práticas de segurança digital são essenciais. A recomendação é evitar clicar em arquivos MSI, scripts ou links enviados pelo WhatsApp sem seleção prévia. Atualizar o sistema operacional, antivírus e aplicativos também reduzem vulnerabilidades.
Usuários de criptografia devem manter ativada a autenticação em dois fatores e verifique regularmente sua lista de dispositivos conectados. Caso haja sinais de comportamento anormal, como mensagens automáticas, instalação de aplicativos desconhecidos ou atividades inesperadas, a orientação é desconectar o dispositivo da internet e alterar senhas imediatamente.
Alerta para o setor financeiro digital
A campanha sinalizando uma tendência crescente: ataques que exploram aplicativos de mensagens para atingir usuários de bancos digitais, carteiras e exchanges.
Como o ponto inicial de infecção costuma ocorrer em dispositivos pessoais, empresas do setor de criptografia e fintechs precisam de políticas reforçadas de verificação e monitoramento, já que o risco se estende ao ambiente corporativo.
Fontecriptofacil
