Νέο κακόβουλο λογισμικό μέσω WhatsApp Exfiltrate επαφών για επίθεση στον διακομιστή και ανάπτυξη κακόβουλου λογισμικού

Οι ερευνητές της Trustwave SpiderLabs εντόπισαν ένα εξελιγμένο τραπεζικό trojan που ονομάζεται Eternidade Stealer που εξαπλώνεται μέσω της αεροπειρατείας του WhatsApp και των τακτικών κοινωνικής μηχανικής.

Το κακόβουλο λογισμικό, γραμμένο στους Δελφούς, αντιπροσωπεύει μια σημαντική εξέλιξη στο τοπίο του κυβερνοεγκλήματος της Βραζιλίας, συνδυάζοντας προηγμένη συλλογή επαφών με κλοπή διαπιστευτηρίων που στοχεύει χρηματοπιστωτικά ιδρύματα.

Η απειλή αναδύεται από μια αλυσίδα μόλυνσης πολλαπλών σταδίων που ξεκινά με ένα συγκεχυμένο VBScript που αποστέλλεται μέσω μηνυμάτων WhatsApp.

Όταν εκτελείται, το σενάριο πραγματοποιεί λήψη ενός αρχείου δέσμης που περιέχει δύο κύρια ωφέλιμα φορτία: ένα worm WhatsApp που βασίζεται σε Python και ένα πρόγραμμα εγκατάστασης MSI που αναπτύσσει τον τραπεζικό trojan.

Αυτή η μέθοδος διανομής εκμεταλλεύεται την αξιόπιστη φύση της πλατφόρμας ανταλλαγής μηνυμάτων, καθιστώντας πιο πιθανό τους χρήστες να αλληλεπιδρούν με κακόβουλα συνημμένα που μοιράζονται οι επαφές των οποίων οι λογαριασμοί έχουν παραβιαστεί.

Αναλυτές ασφαλείας Trustwave διάσημος ότι το κακόβουλο λογισμικό επιδεικνύει αξιοσημείωτη πολυπλοκότητα στη στόχευση των Βραζιλιάνων θυμάτων ειδικά.

Ο trojan χρησιμοποιεί ελέγχους γεωγραφικής τοποθεσίας για να επαληθεύσει ότι η γλώσσα του λειτουργικού συστήματος είναι τα Πορτογαλικά Βραζιλίας πριν προχωρήσει σε μόλυνση.

Εάν η γλώσσα του συστήματος δεν ταιριάζει, το κακόβουλο λογισμικό εμφανίζει ένα μήνυμα σφάλματος και τερματίζεται, αποτρέποντας τυχαίες μολύνσεις εκτός της προβλεπόμενης περιοχής στόχου και αποφεύγοντας τον εντοπισμό του sandbox.

Η βασική λειτουργικότητα του Eternidade Stealer περιλαμβάνει την κλοπή ολόκληρων λιστών επαφών WhatsApp μέσω του obter_contatos() συνάρτηση, η οποία εκτελεί κώδικα JavaScript χρησιμοποιώντας το API WPP.contact.list().

Το κακόβουλο λογισμικό φιλτράρει έξυπνα ομάδες, επαγγελματικές επαφές και λίστες εκπομπής, εστιάζοντας ειδικά σε μεμονωμένες προσωπικές επαφές που είναι πιο πιθανό να πέσουν θύματα μηνυμάτων ηλεκτρονικού ψαρέματος.

Κάθε κλεμμένη εγγραφή επαφής περιλαμβάνει το πλήρες αναγνωριστικό WhatsApp, το όνομα επαφής, τον αριθμό τηλεφώνου και το εάν η επαφή έχει αποθηκευτεί.

Μετά τη συλλογή, το κακόβουλο λογισμικό στέλνει αμέσως αυτά τα δεδομένα στον διακομιστή εντολών και ελέγχου μέσω αιτημάτων HTTP POST χωρίς αλληλεπίδραση με τον χρήστη.

Αυτό που κάνει το Eternidade Stealer ιδιαίτερα επικίνδυνο είναι ο μηχανισμός επιμονής διπλής στρώσης του. Ο trojan χρησιμοποιεί σκληρά κωδικοποιημένα διαπιστευτήρια για να συνδεθεί μέσω IMAP σε έναν λογαριασμό email που ελέγχεται από παράγοντες απειλών.

Εξάγει τη διεύθυνση του διακομιστή εντολών και ελέγχου από θέματα και σώματα email, επιτρέποντας στους εισβολείς να ενημερώνουν δυναμικά την υποδομή τους και να διατηρούν συνδέσεις ακόμα και αν κατασχεθούν συγκεκριμένοι τομείς.

Το κακόβουλο λογισμικό στοχεύει πάνω από 40 χρηματοπιστωτικά ιδρύματα της Βραζιλίας, υπηρεσίες πληρωμών όπως το MercadoPago και ανταλλακτήρια κρυπτονομισμάτων, συμπεριλαμβανομένων των Binance και Coinbase.

Όταν ένα θύμα έχει πρόσβαση σε μια στοχευμένη τραπεζική εφαρμογή, το trojan ενεργοποιεί την ικανότητά του επικάλυψης, εμφανίζοντας πλαστές οθόνες σύνδεσης που έχουν σχεδιαστεί για να κλέβουν διαπιστευτήρια απρόσκοπτα.

Οι δυνατότητες αναγνώρισης συστήματος συλλέγουν πληροφορίες, συμπεριλαμβανομένων των λεπτομερειών του λειτουργικού συστήματος, του εγκατεστημένου λογισμικού προστασίας από ιούς, των δημόσιων και τοπικών διευθύνσεων IP και των διεργασιών που εκτελούνται.

Αυτή η αναγνώριση βοηθά τους παράγοντες απειλών να καθορίσουν εάν θα προχωρήσουν σε κλοπή διαπιστευτηρίων ή ανάπτυξη τραπεζικής επικάλυψης.

Η έρευνα αποκάλυψε ότι η υποδομή ενός παράγοντα απειλής κατέγραψε 454 προσπάθειες σύνδεσης παγκοσμίως, με σημαντική κίνηση από τις Ηνωμένες Πολιτείες και τις ευρωπαϊκές χώρες, υποδηλώνοντας ευρύτερες φιλοδοξίες επίθεσης πέρα ​​από τα σύνορα της Βραζιλίας.