" Владельцам криптовалют в Бразилии рекомендуют быть особенно внимательными из-за сложной хакерской кампании, которая включает червя для захвата аккаунтов и банковский троян, распространяемый через сообщения WhatsApp.
Согласно новому отчету исследовательской группы по кибербезопасности SpiderLabs компании Trustwave, банковский троян, известный как «Eternidade Stealer», распространяется через социальную инженерию в мессенджере WhatsApp с помощью «поддельных государственных программ, уведомлений о доставке», сообщений от друзей и мошеннических инвестиционных групп.
«WhatsApp продолжает оставаться одним из наиболее эксплуатируемых каналов связи в экосистеме киберпреступности Бразилии. За последние два года злоумышленники усовершенствовали тактику, используя огромную популярность платформы для распространения банковских троянов и программ-похитителей информации», — заявили исследователи SpiderLabs Натаниэль Моралес, Джон Басмайор и Никита Казимирский.
Объясняя процесс простыми словами, нажатие на ссылку червя в WhatsApp запускает цепную реакцию, которая заражает жертву как червем, так и банковским трояном.
Червь захватывает аккаунт и получает список контактов жертвы. Он использует «умную фильтрацию», чтобы игнорировать деловые контакты и группы, нацеливаясь на отдельных пользователей для более эффективного процесса.
Тем временем банковский троян — это файл, автоматически загружаемый на устройство жертвы, который развертывает Eternidade Stealer в фоновом режиме. Эта программа может сканировать финансовые данные и логины для ряда бразильских банков, финтех-компаний, криптобирж и кошельков.
Инфографика, объясняющая, как вредоносное ПО атакует устройства и развивается взлом. Источник: SpiderLabs
Вредоносное ПО также использует умный способ избежать обнаружения или отключения. Вместо фиксированного адреса сервера оно использует предустановленный аккаунт Gmail для проверки новых команд через электронную почту. Это позволяет хакерам изменять команды, отправляя новые письма.
«Одна из характерных особенностей этого вредоносного ПО заключается в том, что оно использует жестко заданные учетные данные для входа в свой email-аккаунт, откуда получает свой C2-сервер. Это очень умный способ обновить свой C2, сохранить устойчивость и избежать обнаружения или отключения на сетевом уровне. Если вредоносное ПО не может подключиться к email-аккаунту, оно использует жестко заданный резервный адрес C2», — говорится в отчете.
Согласно данным криптоаналитической платформы Chainalysis, Бразилия является крупнейшей страной по принятию криптовалют в Латинской Америке и занимает пятое место в рейтинге Global Crypto Adoption Index Top 20 за 2025 год.
Индекс основан на использовании странами различных типов криптосервисов и учитывает другие факторы, включая размер населения и покупательную способность.
Как обезопасить себя
Пользователям таких приложений, как WhatsApp, советуют соблюдать осторожность с любыми получаемыми ссылками, даже если они пришли от надежного контакта.
Полезной тактикой может быть отправка сообщения в отдельном приложении для подтверждения безопасности ссылки, а также проявление подозрительности к ссылкам, отправленным без контекста.
Своевременное обновление программного обеспечения также может помочь защититься от потенциальных уязвимостей в старых версиях, а антивирусное ПО может помочь выявить проблемы.
Если кто-то стал жертвой взлома, важно немедленно заблокировать все потенциальные точки доступа к банковским и криптосервисам, чтобы остановить утечку. Отслеживание средств также может помочь биржам, исследователям или властям определить направление движения активов, потенциально помогая заморозить кошельки хакеров.
