ブラジル、暗号資産および銀行アプリを標的としたWhatsAppワーム攻撃の急増に直面

ブラジルで新たに確認されたWhatsAppベースのワームとトロイの木馬のキャンペーンが、Eternidadeと呼ばれる急速に広がるマルウェアクラスターを通じて、暗号ウォレットとアカウントを侵害しています。

研究者が新しいマルウェアの多段階脅威を特定

ブラジルの暗号通貨ユーザーは、金融認証情報を収集するために設計されたバンキングトロイの木馬を広めるためにWhatsAppのハイジャックを利用する新たに出現したマルウェアの作戦について警告されています。Trustwave SpiderLabsの研究者たちは、このキャンペーンがEternidadeという新たに特定されたスティーラーを中心に展開されていることを明らかにしました。EternidadeはDelphiベースのマルウェアで、コマンド・アンド・コントロールインフラストラクチャを動的に更新し、被害者からデータをこっそり収集することができます。

研究者のナサニエル・モラレス、ジョン・バスマイヨール、ニキータ・カジミルスキーは、WhatsAppがブラジルのサイバー犯罪エコシステムの中心であり続けていると指摘しました。

「WhatsAppは、ブラジルのサイバー犯罪エコシステムにおいて最も悪用されている通信チャネルの一つであり続けています。過去2年間、脅威アクターは戦術を洗練させ、このプラットフォームの膨大な人気を利用して、バンカー型トロイの木馬や情報盗難マルウェアを配布しています。」

感染チェーンの仕組み

研究チームによると、現在進行中の操作は、WhatsAppを通じて送信されるソーシャルエンジニアリングメッセージから始まります。これらの誘引は、配送通知、詐欺的な投資グループ、そして「偽の政府プログラム」といった、馴染みのある形式を模倣して、受取人を騙して悪意のあるリンクをクリックさせるものです。

クリックされると、そのリンクはハイジャックワームとEternidadeバンキングトロイの木馬の両方の展開を引き起こします。ワームは直ちに被害者のWhatsAppアカウントを制御し、連絡先リストを抽出し、「スマートフィルタリング」を使用して個々の連絡先を選択的にターゲットにし、ビジネスグループをバイパスして個人的な関与の可能性を最大化します。

同時に、トロイのファイルがデバイスに静かにダウンロードされます。このコンポーネントは、バックグラウンドでEternidade Stealerをインストールし、攻撃者が主要なブラジルの銀行、フィンテックプラットフォーム、仮想通貨取引所およびウォレットに関連する資格情報をスキャンできるようにします。

Gmailによる適応型コマンド・アンド・コントロール

キャンペーンの最も重要な特性の1つは、更新されたコマンドを受信するための非従来型の方法です。静的なサーバーアドレスに依存するのではなく、EternidadeはIMAPを介してGmailアカウントにログインするためにハードコーディングされた認証情報を使用します。これにより、攻撃者は制御されたアカウントにメールを送信するだけで更新された指示を送ることができます。

研究者たちはこの技術を彼らの報告書の中で強調しました：

「このマルウェアの注目すべき特徴の1つは、ハードコーディングされた認証情報を使用してメールアカウントにログインし、そこからC2サーバーを取得することです。これは、C2を更新し、持続性を維持し、ネットワークレベルでの検出や対処を回避する非常に巧妙な方法です。マルウェアがメールアカウントに接続できない場合、ハードコーディングされたフォールバックC2アドレスを使用します。」

関連マルウェア活動

エテルニダーデ作戦は、WhatsApp Web ワームであるSORVEPOTELを使用して、以前のコヨーテマルウェアバリアントに関連する.NETベースのバンキングトロジャンであるマーベリックを配布したウォーターサシというブラジルに焦点を当てたマルウェアの波のすぐ後に続いています。これらの事件は、この地域における持続的な傾向を強調しています：WhatsAppを主要なベクターとして使用し、マルウェア開発のためにDelphiベースのツールに依存し続けていることです。

安全に関する推奨事項

セキュリティ専門家は、WhatsAppユーザーに対して、信頼できる連絡先から送信された場合でも、不明なリンクをクリックしないようにアドバイスしています。特にリンクにほとんど文脈が伴わない場合は、別の通信チャネルを通じて疑わしいメッセージを確認することを推奨します。

免責事項：この記事は情報提供のみを目的としています。法的、税務、投資、財務、またはその他のアドバイスとして提供されるものではありません。