Aviso: verme do WhatsApp tem como alvo carteiras de criptomoedas e contas bancárias brasileiras

Os suportes de criptomoedas brasileiros são aconselhados a ficarem atentos a uma sofisticada campanha de hacking que inclui um verme de sequestro e um trojan bancário compartilhado através de mensagens do WhatsApp.

De acordo com um novo relatório da equipa de investigação em cibersegurança da Trustwave, SpiderLabs, o trojan bancário, conhecido como “Eternidade Stealer”, está a ser promovido através de engenharia social na aplicação de mensagens WhatsApp, como “programas governamentais falsos, notificações de entrega,” mensagens de amigos e grupos de investimento fraudulentos.

“O WhatsApp continua a ser um dos canais de comunicação mais explorados no ecossistema de cibercrime do Brasil. Nos últimos dois anos, os atores de ameaça aprimoraram suas táticas, utilizando a imensa popularidade da plataforma para distribuir trojans bancários e malware que rouba informações,” disseram os pesquisadores da Spiderlabs Nathaniel Morales, John Basmayor e Nikita Kazymirskyi.

Explicando o processo em termos simples, clicar no link do verme no WhatsApp desencadeia uma reação em cadeia que infecta a vítima tanto com o verme quanto com o trojan bancário.

O worm sequestra a conta e obtém a lista de contactos da vítima. Utiliza “filtragem inteligente” para ignorar contactos de negócios e grupos, visando contactos individuais para um processo mais eficiente.

Entretanto, o trojan bancário é um arquivo automaticamente descarregado no dispositivo da vítima que implementa o Eternidade Stealer em segundo plano, o qual é capaz de escanear dados financeiros e logins para uma variedade de bancos e fintechs ou exchanges e carteiras de criptomoedas brasileiras.

Infográfico explicando como o malware ataca dispositivos e como o hack avança. Fonte: SpiderLabsRelacionado: O roubo de chaves privadas de criptomoedas é agora um grande negócio: Aqui está o que você precisa saber

O malware também tem uma maneira inteligente de evitar a deteção ou de ser encerrado. Em vez de ter um endereço de servidor fixo, utiliza uma conta de gmail pré-definida para verificar novos comandos por e-mail. Isso permite que os hackers mudem os comandos enviando novos e-mails.

“Uma característica notável deste malware é que ele usa credenciais codificadas para fazer login em sua conta de e-mail, a partir da qual recupera seu servidor C2. É uma maneira muito inteligente de atualizar seu C2, manter a persistência e evitar detecções ou desativações em nível de rede. Se o malware não conseguir se conectar à conta de e-mail, ele utiliza um endereço C2 de fallback codificado”, lê-se no relatório.

Como se manter seguro

Os utilizadores de aplicações como o WhatsApp são aconselhados a proceder com cautela com qualquer link enviado para eles, mesmo que seja de um contacto de confiança.

Uma tática útil pode ser enviar uma mensagem a eles em um aplicativo separado para confirmar se o link está correto e desconfiar de um link enviado do nada com contexto limitado.

Manter o software atualizado também pode ajudar a proteger as pessoas de possíveis bugs que visam versões mais antigas, enquanto o software antivírus também pode ajudar a sinalizar problemas.

Se alguém foi hackeado, é importante congelar imediatamente todos os potenciais pontos de acesso a serviços bancários e de criptomoedas para parar a hemorragia. Rastrear fundos também pode ajudar as trocas, pesquisadores ou autoridades a rastrear para onde os ativos estão indo, potencialmente ajudando-os a congelar carteiras de hackers.

Revista: ‘Ajuda! O meu aspirador robot está a roubar o meu Bitcoin’: Quando os dispositivos inteligentes atacam

• #Blockchain
• #WhatsApp
• #Brasil
• #Malware
• #Hackers
• #Cibersegurança
• #Hacks Adicionar reação