Advarsel til kryptovaluta-innehavere i Brasil
Brasilianske kryptovaluta-innehavere oppfordres til å være på vakt mot en sofistikert hackingkampanje som involverer en kaprende orm og banktrojaner distribuert via WhatsApp-meldinger. Ifølge en ny rapport fra Trustwaves cybersikkerhetsforskningsgruppe SpiderLabs, blir banktrojaneren, kjent som «Eternidade Stealer», spredt gjennom sosial manipulering på meldingsapplikasjonen WhatsApp, ved hjelp av «falske regjeringprogrammer, leveringsvarsler,» meldinger fra venner og svindelinvesteringsgrupper.
«WhatsApp fortsetter å være en av de mest utnyttede kommunikasjonskanalene i Brasils cyberkriminalitetsøkosystem. I løpet av de siste to årene har trusselaktører raffinert taktikkene sine og brukt plattformens enorme popularitet til å distribuere banktrojanere og informasjonstyveri-malware,»
sier Spiderlabs-forskerne Nathaniel Morales, John Basmayor og Nikita Kazymirskyi.
Hvordan angrepet fungerer
For å forklare prosessen i enkle termer, setter det å klikke på ormlenken i WhatsApp i gang en kjedereaksjon som infiserer offeret med både ormen og banktrojaneren. Ormen kaprer kontoen og skaffer seg offerets kontaktliste. Den bruker «smart filtrering» for å ignorere forretningskontakter og grupper, og målretter individuelle kontakter for en mer effektiv prosess.
I mellomtiden er banktrojaneren en fil som automatisk lastes ned på offerets enhet og distribuerer Eternidade Stealer i bakgrunnen, som er i stand til å skanne etter finansielle data og pålogginger til en rekke brasilianske banker, samt fintech- eller kryptovaluta-børser og lommebøker.
Malware har også en smart måte å unngå oppdagelse eller å bli stengt ned. I stedet for å ha en fast serveradresse, bruker den en forhåndsinnstilt Gmail-konto for å sjekke etter nye kommandoer via e-post. Dette gjør det mulig for hackerne å endre kommandoer ved å sende nye e-poster.
«En bemerkelsesverdig funksjon ved denne malware er at den bruker hardkodede legitimasjoner for å logge inn på e-postkontoen sin, fra hvilken den henter sin C2-server. Det er en veldig smart måte å oppdatere sin C2, opprettholde vedvarende tilstedeværelse og unngå oppdagelse eller nedstengninger på nettverksnivå. Hvis malware ikke kan koble til e-postkontoen, bruker den en hardkodet fallback C2-adresse,»
står det i rapporten.
Hvordan holde seg trygg
Brukere av apper som WhatsApp anbefales å være forsiktige med enhver lenke som sendes til dem, selv om den er fra en pålitelig kontakt. En nyttig taktikk kan være å sende dem en melding på en annen app for å bekrefte om lenken er trygg, og å være mistenksom overfor en lenke som sendes ut av det blå med begrenset kontekst.
Å holde programvaren oppdatert kan også bidra til å beskytte folk mot potensielle feil som retter seg mot eldre versjoner, mens antivirusprogramvare også potensielt kan hjelpe med å flagge problemer.
Hvis noen har blitt hacket, er det viktig å umiddelbart fryse alle potensielle tilgangspunkter til bank- og kryptovalutatjenester for å stoppe blødningen. Å spore midler kan også hjelpe børser, forskere eller myndigheter med å følge med på hvor eiendelene går, noe som potensielt kan hjelpe dem med å fryse hacker-lommebøker.
