- Un ver WhatsApp et un cheval de Troie ciblant les utilisateurs brésiliens de cryptomonnaies avec des détournements furtifs de comptes.
- Malware utilise un système de commandes basé sur Gmail pour éviter les arrêts et mettre à jour ses opérations.
- Les journaux du panneau de redirection montrent une exposition globale, la plupart des tentatives de connexion venant des systèmes de bureau.
Les autorités brésiliennes et les analystes en cybersécurité ont tiré la sonnette d’alarme face à une campagne de malwares en rapide propagation qui utilise des messages WhatsApp pour cibler les utilisateurs de cryptomonnaies via le détournement automatisé de comptes et un cheval de Troie bancaire sophistiqué.
L’opération , identifiée par des chercheurs de Trustwave SpiderLabs, relie un ver propagé par WhatsApp à un outil de menace appelé Eternidade Stealer, permettant aux attaquants d’obtenir des identifiants bancaires, des identifiants d’échanges crypto et d’autres informations financières sensibles à partir d’appareils infectés.
Les chercheurs retracent l’activité coordonnée grâce à des leurres basés sur WhatsApp
Selon les chercheurs de SpiderLabs Nathaniel Morales, John Basmayor et Nikita Kazymirskyi, la campagne s’appuie sur des messages d’ingénierie sociale qui imitent les avis gouvernementaux, les mises à jour de livraison, des groupes d’investissement frauduleux, voire des contacts d’amis.
Une fois qu’une victime ouvre le lien malveillant, le ver et le cheval de Troie bancaire s’installent simultanément. Le ver saisit immédiatement le compte WhatsApp de la victime, extrait la liste de contacts et filtre les groupes ou numéros d’entreprise pour prioriser le ciblage individuel.
Pendant ce processus, le cheval de Troie compagnon livre la charge utile Eternidade Stealer. Le malware scanne ensuite le système à la recherche d’identifiants liés aux plateformes bancaires brésiliennes, aux comptes fintech et aux services liés aux cryptomonnaies, y compris les portefeuilles et les plateformes d’échange. Les chercheurs soutiennent que cette structure à deux étapes est devenue de plus en plus courante dans l’écosystème de la cybercriminalité brésilienne, qui a utilisé WhatsApp pour des campagnes passées, telles que Water Saci, couvrant 2024 et 2025.
Un logiciel malveillant utilise la récupération de commandes basée sur Gmail pour éviter les retraits
Les enquêteurs rapportent que le malware évite les coupures traditionnelles du réseau en utilisant un compte Gmail prédéfini pour recevoir des commandes mises à jour. Au lieu de dépendre d’un serveur de commande et de contrôle (C2) fixe, il se connecte à l’adresse email codée en dur, vérifie les dernières instructions, et ne revient à un domaine C2 statique que si l’email est injoignable. SpiderLabs a qualifié cette méthode de maintien de la persistance tout en réduisant la probabilité d’être détecté.
À lire aussi : Nouvelle menace de malware : un voleur de Cthulhu vise le Mac et la crypto
Les données du panneau de redirection révèlent une empreinte mondiale
Lors de la cartographie de l’infrastructure, les analystes ont lié le domaine initial, *serverseistemasatu[.]com,* à un serveur hébergeant plusieurs panneaux d’acteurs menaces, y compris un système de redirection utilisé pour suivre les connexions entrantes. Sur les 453 visites enregistrées, 451 ont été bloquées en raison de restrictions géographiques, ne permettant que le Brésil et l’Argentine.
Cependant, les données de journal montraient 454 tentatives de communication dans 38 pays, dont les États-Unis (196), les Pays-Bas (37), l’Allemagne (32), le Royaume-Uni (23) et la France (19). Seules trois interactions proviennent du Brésil.
Le panel a également enregistré des statistiques sur les systèmes d’exploitation indiquant que 40 % des connexions provenaient de systèmes non identifiés, suivis de Windows (25 %), macOS (21 %), Linux (10 %) et Android (4 %). Les enquêteurs ont déclaré que les données montrent que la plupart des interactions se sont produites depuis des environnements de bureau.
En lien : Comment les permissions des portefeuilles de navigateur ont été exploitées dans la dernière arnaque à l’offre d’emploi LinkedIn
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
