Alertas no Brasil alertam os utilizadores de criptomoedas sobre nova campanha de malware no WhatsApp que utiliza um verme de sequestro

Fonte: CoinEdition Título Original: Brasil Alerta Usuários de Criptomoedas Sobre Nova Campanha de Malware no WhatsApp com Vírus de Sequestro Link Original: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Autoridades brasileiras e analistas de cibersegurança emitiram um alerta sobre uma campanha de malware de rápida disseminação que utiliza mensagens do WhatsApp para direcionar usuários de criptomoedas por meio de sequestro automatizado de contas e um trojan bancário sofisticado.

A operação, identificada por pesquisadores da Trustwave SpiderLabs, associa um verme propagado pelo WhatsApp a uma ferramenta de ameaça conhecida como Eternidade Stealer, permitindo que os atacantes obtenham credenciais bancárias, logins em exchanges de criptomoedas e outras informações financeiras sensíveis de dispositivos infectados.

Pesquisadores Rastream Atividades Coordenadas Através de Iscas Baseadas no WhatsApp

Segundo os pesquisadores Nathaniel Morales, John Basmayor e Nikita Kazymirskyi, da SpiderLabs, a campanha depende de mensagens de engenharia social que imitam avisos governamentais, atualizações de entrega, grupos de investimento fraudulentos ou até contatos de amigos.

Assim que uma vítima abre o link malicioso, tanto o verme quanto o trojan bancário são instalados simultaneamente. O verme imediatamente assume a conta do WhatsApp da vítima, extrai a lista de contatos e filtra grupos ou números comerciais para priorizar o direcionamento um a um.

Durante esse processo, o trojan acompanhante entrega a carga útil do Eternidade Stealer. O malware então escaneia o sistema em busca de credenciais ligadas a plataformas bancárias brasileiras, contas fintech e serviços relacionados a criptomoedas, incluindo carteiras e exchanges. Os pesquisadores argumentam que essa estrutura de duas fases tem se tornado cada vez mais comum no ecossistema de cybercrime do Brasil, que já utilizou o WhatsApp em campanhas anteriores, como Water Saci, em 2024 e 2025.

Malware Usa Recuperação de Comandos via Gmail para Evitar Desmantelamento

Os investigadores relatam que o malware evita desligamentos tradicionais de rede ao usar uma conta Gmail predefinida para receber comandos atualizados. Em vez de depender de um servidor fixo de comando e controle (C2), ele faz login no endereço de email codificado, verifica as instruções mais recentes e só recorre a um domínio C2 estático se o email estiver inacessível. A SpiderLabs chamou esse método de uma forma de manter a persistência enquanto reduz a chance de detecção.

Dados do Painel de Redirecionamento Revelam Pegada Global

Durante o mapeamento da infraestrutura, os analistas associaram o domínio inicial a um servidor que hospeda múltiplos painéis de atores de ameaça, incluindo um Sistema de Redirecionamento usado para rastrear conexões recebidas. Das 453 visitas registradas, 451 foram bloqueadas por restrições geográficas, permitindo apenas o Brasil e a Argentina.

No entanto, os dados de logs mostraram 454 tentativas de comunicação em 38 países, incluindo os Estados Unidos (196), Holanda (37), Alemanha (32), Reino Unido (23) e França (19). Apenas três interações tiveram origem no Brasil.

O painel também registrou estatísticas do sistema operacional indicando que 40% das conexões vieram de sistemas não identificados, seguidos por Windows (25%), macOS (21%), Linux (10%) e Android (4%). Os investigadores afirmam que os dados mostram que a maioria das interações ocorreu a partir de ambientes de desktop.