Brazil cảnh báo người dùng Crypto về chiến dịch phần mềm độc hại WhatsApp mới triển khai sâu máy chủ chiếm quyền

Nguồn: CoinEdition Tiêu đề Gốc: Brazil cảnh báo người dùng Crypto về chiến dịch phần mềm độc hại mới trên WhatsApp triển khai sâu Worm chiếm quyền kiểm soát Liên kết Gốc: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Các cơ quan chức năng Brazil và các nhà phân tích an ninh mạng đã báo động về một chiến dịch phần mềm độc hại lan truyền nhanh đang sử dụng tin nhắn WhatsApp để nhắm mục tiêu người dùng crypto thông qua việc chiếm quyền tự động tài khoản và một phần mềm trojan ngân hàng tinh vi.

Hoạt động này, được các nhà nghiên cứu tại Trustwave SpiderLabs xác định, liên kết một sâu Worm truyền qua WhatsApp với một công cụ đe dọa được gọi là Eternidade Stealer, cho phép kẻ tấn công lấy được thông tin đăng nhập ngân hàng, đăng nhập sàn giao dịch crypto, và các thông tin tài chính nhạy cảm khác từ các thiết bị bị nhiễm.

Các nhà nghiên cứu theo dõi hoạt động phối hợp qua các mồi nhử dựa trên WhatsApp

Theo các nhà nghiên cứu của SpiderLabs là Nathaniel Morales, John Basmayor, và Nikita Kazymirskyi, chiến dịch này dựa trên các tin nhắn lừa đảo xã hội giả mạo thông báo của chính phủ, cập nhật giao hàng, nhóm đầu tư giả mạo, hoặc thậm chí liên hệ từ bạn bè.

Khi nạn nhân mở liên kết độc hại, cả sâu Worm và phần mềm trojan ngân hàng đều được cài đặt cùng lúc. Sâu Worm ngay lập tức chiếm quyền tài khoản WhatsApp của nạn nhân, trích xuất danh sách liên hệ, và loại bỏ các nhóm hoặc số điện thoại doanh nghiệp để ưu tiên mục tiêu cá nhân.

Trong quá trình này, phần mềm trojan đi kèm gửi payload Eternidade Stealer. Phần mềm độc hại sau đó quét hệ thống để lấy thông tin đăng nhập liên kết với các nền tảng ngân hàng Brazil, tài khoản fintech, và các dịch vụ liên quan đến crypto, bao gồm ví và sàn giao dịch. Các nhà nghiên cứu cho rằng cấu trúc hai giai đoạn này ngày càng phổ biến trong hệ sinh thái tội phạm mạng của Brazil, đã sử dụng WhatsApp cho các chiến dịch trước đó, như Water Saci, kéo dài từ 2024 đến 2025.

Phần mềm độc hại sử dụng lệnh truy cập dựa trên Gmail để tránh bị tiêu diệt

Các điều tra viên báo cáo rằng phần mềm độc hại tránh các cắt mạng truyền thống bằng cách dùng một tài khoản Gmail đã định sẵn để nhận lệnh cập nhật. Thay vì phụ thuộc vào một máy chủ kiểm soát và ra lệnh (C2) cố định, nó đăng nhập vào địa chỉ email được lập trình sẵn, kiểm tra các hướng dẫn mới nhất, và chỉ trở về một tên miền C2 tĩnh nếu email không thể truy cập được. SpiderLabs gọi phương pháp này là cách duy trì tính bền bỉ trong khi giảm khả năng bị phát hiện.

Dữ liệu bảng điều khiển chuyển hướng tiết lộ dấu chân toàn cầu

Trong quá trình khảo sát hạ tầng, các nhà phân tích liên kết tên miền ban đầu với một máy chủ chứa nhiều bảng điều khiển của các tác nhân đe dọa, trong đó có Hệ thống Chuyển hướng được sử dụng để theo dõi các kết nối đến. Trong tổng số 453 lượt truy cập được ghi nhận, 451 lượt đã bị chặn do hạn chế địa lý, chỉ cho phép Brazil và Argentina.

Tuy nhiên, dữ liệu nhật ký cho thấy có 454 lần liên lạc từ 38 quốc gia, bao gồm Hoa Kỳ (196), Hà Lan (37), Đức (32), Vương quốc Anh (23), và Pháp (19). Chỉ có ba tương tác bắt nguồn từ Brazil.

Bảng điều khiển cũng ghi nhận số liệu thống kê hệ điều hành, trong đó 40% các kết nối đến từ hệ thống không xác định, tiếp theo là Windows (25%), macOS (21%), Linux (10%), và Android (4%). Các nhà điều tra cho biết dữ liệu này cho thấy phần lớn các tương tác diễn ra từ môi trường máy tính để bàn.