Os pesquisadores do Trustwave SpiderLabs identificaram um sofisticado trojan bancário chamado Eternidade Stealer, que se espalha por meio de sequestro de WhatsApp e táticas de engenharia social.
O malware, escrito em Delphi, representa uma evolução significativa no cenário cibercriminoso do Brasil, combinando coleta avançada de contatos com roubo de credenciais visando instituições financeiras.
A ameaça surge de uma cadeia de infecção em vários estágios que começa com um VBScript ofuscado enviado por mensagens do WhatsApp.
A mensagem recebida via WhatsApp durante a preparação do presente relatório (Fonte – Trustwave)
Quando executado, o script baixa um arquivo em lote contendo duas cargas principais: um worm WhatsApp baseado em Python e um instalador MSI que implanta o trojan bancário.
Este método de distribuição explora a natureza confiável da plataforma de mensagens, aumentando a probabilidade de os usuários interagirem com anexos maliciosos compartilhados por contatos cujas contas foram comprometidas.
Os analistas de segurança da Trustwave observaram que o malware demonstra notável sofisticação ao atingir especificamente as vítimas brasileiras.
O trojan usa verificações de geolocalização para verificar se o idioma do sistema operacional é o português brasileiro antes de prosseguir com a infecção.
Se o idioma do sistema não corresponder, o malware exibe uma mensagem de erro e é encerrado, evitando infecções acidentais fora da região alvo pretendida e evitando a detecção de sandbox.
A principal funcionalidade do Eternidade Stealer envolve roubar listas inteiras de contatos do WhatsApp por meio da função obter_contatos(), que executa código JavaScript usando a API WPP.contact.list().
O malware filtra de forma inteligente grupos, contatos comerciais e listas de transmissão, concentrando-se especificamente em contatos pessoais individuais com maior probabilidade de serem vítimas de mensagens de phishing.
Cada registro de contato roubado inclui o ID completo do WhatsApp, nome do contato, número de telefone e se o contato foi salvo.
Cadeia de ataque do Eternity Stealer (Fonte – Trustwave)
Após a coleta, o malware envia imediatamente esses dados para o servidor de comando e controle por meio de solicitações HTTP POST, sem interação do usuário.
O que torna o Eternidade Stealer particularmente perigoso é o seu mecanismo de persistência de camada dupla. O trojan usa credenciais codificadas para se conectar via IMAP a uma conta de e-mail controlada por agentes de ameaças.
Ele extrai o endereço do servidor de comando e controle de assuntos e corpos de e-mail, permitindo que invasores atualizem sua infraestrutura dinamicamente e mantenham conexões mesmo se domínios específicos forem apreendidos.
O malware tem como alvo mais de 40 instituições financeiras brasileiras, serviços de pagamento como MercadoPago e exchanges de criptomoedas, incluindo Binance e Coinbase.
Quando uma vítima acessa um aplicativo bancário direcionado, o trojan ativa seu recurso de sobreposição, exibindo telas de login falsas projetadas para roubar credenciais de forma transparente.
Os recursos de reconhecimento do sistema coletam informações, incluindo detalhes do sistema operacional, software antivírus instalado, endereços IP públicos e locais e processos em execução.
Esse reconhecimento ajuda os atores da ameaça a determinar se devem prosseguir com o roubo de credenciais ou com a implantação de sobreposição bancária.
A investigação revelou que a infraestrutura de um ator de ameaça registrou 454 tentativas de conexão globalmente, com tráfego significativo proveniente dos Estados Unidos e de países europeus, sugerindo ambições de ataque mais amplas além das fronteiras do Brasil.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
