- Die Kombination aus WhatsApp-Wurm und Trojaner zielt auf brasilianische Krypto-Nutzer mit heimlichen Konto-Entführungen ab.
- Malware nutzt ein Gmail-basiertes Befehlssystem, um Abschaltungen zu umgehen und seine Abläufe zu aktualisieren.
- Redirector-Panel-Logs zeigen globale Exposition, wobei die meisten Verbindungsversuche von Desktop-Systemen ausgehen.
Brasilianische Behörden und Cybersicherheitsanalysten haben Alarm geschlagen wegen einer sich schnell ausbreitenden Malware-Kampagne, die WhatsApp-Nachrichten nutzt, um Krypto-Nutzer durch automatisierte Kontoentführung und einen ausgeklügelten Banktrojaner ins Visier zu nehmen.
Die von Forschern von Trustwave SpiderLabs identifizierte Operation verknüpft einen WhatsApp-propagierten Wurm mit einem Bedrohungstool namens Eternidade Stealer, das es Angreifern ermöglicht, Bankdaten, Krypto-Börsen-Logins und andere sensible Finanzinformationen von infizierten Geräten zu erhalten.
Forscher verfolgen koordinierte Aktivitäten anhand von WhatsApp-basierten Ködern
Laut den SpiderLabs-Forschern Nathaniel Morales, John Basmayor und Nikita Kazymirskyi basiert die Kampagne auf Social-Engineering-Botschaften, die Regierungshinweise, Lieferupdates, betrügerische Investmentgruppen oder sogar Kontakte von Freunden nachahmen.
Sobald ein Opfer den bösartigen Link öffnet, installieren sich sowohl der Wurm als auch der Banking-Trojaner gleichzeitig. Der Wurm beschlagnahmt sofort das WhatsApp-Konto des Opfers, extrahiert die Kontaktliste und filtert Gruppen- oder Geschäftsnummern heraus, um Eins-zu-eins-Targeting zu priorisieren.
Während dieses Vorgangs liefert der Begleittrojaner die Eternidade Stealer-Ladung ab. Die Schadsoftware scannt dann das System nach Zugangsdaten, die mit brasilianischen Bankplattformen, Fintech-Konten und kryptobezogenen Diensten, einschließlich Wallets und Börsen, verknüpft sind. Forscher argumentieren, dass diese zweistufige Struktur im Cyberkriminalitäts-Ökosystem Brasiliens zunehmend verbreitet ist, das WhatsApp für frühere Kampagnen wie Water Saci in den Jahren 2024 und 2025 genutzt hat.
Malware nutzt Gmail-basierte Befehlsabrufung, um Löschungen zu umgehen
Ermittler berichten, dass die Malware traditionelle Netzwerkabschaltungen vermeidet, indem sie ein voreingestelltes Gmail-Konto verwendet, um aktualisierte Befehle zu empfangen. Anstatt auf einen festen Command-and-Control-Server (C2) zu vertrauen, meldet er sich in die fest programmierte E-Mail-Adresse ein, prüft die neuesten Anweisungen und greift nur dann auf eine statische C2-Domain zurück, wenn die E-Mail nicht erreichbar ist. SpiderLabs bezeichnete diese Methode als eine Möglichkeit, die Persistenz aufrechtzuerhalten und gleichzeitig die Wahrscheinlichkeit einer Entdeckung zu verringern.
Verwandt: Neue Malware-Bedrohung: Cthulhu Stealer nimmt Mac und Krypto ins Visier
Redirector-Panel-Daten zeigen globale Präsenz
Während der Infrastruktur-Mapping verknüpften Analysten die Anfangsdomäne *serverseistemasatu[.]com,* auf einen Server mit mehreren Bedrohungsakteur-Panels zu betreiben, darunter ein Redirector-System, das zur Verfolgung eingehender Verbindungen verwendet wird. Von den 453 registrierten Besuchen wurden 451 aufgrund geografischer Einschränkungen blockiert, sodass nur Brasilien und Argentinien zugelassen wurden.
Logdaten zeigten jedoch 454 Kommunikationsversuche in 38 Ländern, darunter die Vereinigten Staaten (196), die Niederlande (37), Deutschland (32), das Vereinigte Königreich (23) und Frankreich (19). Nur drei Interaktionen stammten aus Brasilien.
Das Gremium erfasste außerdem Betriebssystemstatistiken, die zeigen, dass 40 % der Verbindungen von nicht identifizierten Systemen stammten, gefolgt von Windows (25 %), macOS (21 %), Linux (10 %) und Android (4 %). Die Ermittler erklärten, dass die Daten zeigen, dass die meisten Interaktionen aus Desktop-Umgebungen stattfanden.
Verwandt: Wie Browser-Wallet-Berechtigungen im neuesten LinkedIn-Jobangebotsbetrug ausgenutzt wurden
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
