Le logiciel malveillant Eternidade Stealer cible le secteur financier brésilien via WhatsApp

Résumé exécutif

Les chercheurs en cybersécurité ont identifié une nouvelle campagne de logiciels malveillants agressive au Brésil impliquant un cheval de Troie bancaire nommé Eternidade Stealer. Ce logiciel malveillant est distribué rapidement via WhatsApp et est conçu pour voler les identifiants de connexion d'une liste ciblée de banques brésiliennes, de sociétés de technologie financière et de grandes bourses de cryptomonnaies. Les analyses de firmes telles que Trustwave SpiderLabs, BlueVoyant et Trend Research indiquent que cette campagne représente une évolution dans les tactiques utilisées par les groupes de cybercriminels brésiliens, qui exploitent de plus en plus les plateformes de communication populaires pour exécuter des attaques à grande échelle.

L'événement en détail

L'attaque commence par de l'ingénierie sociale, où les utilisateurs sont trompés et incités à télécharger une archive ZIP à partir d'un message WhatsApp. Cette archive contient un fichier de raccourci malveillant (.lnk) plutôt qu'un exécutable direct. Une fois ouvert, ce raccourci exécute une commande obfusquée qui télécharge et exécute la charge utile principale. Le logiciel malveillant, un téléchargeur .NET protégé par ArmDot, injecte ensuite du shellcode dans le processus powershell_ise.exe. Cela lui permet d'opérer avec un certain degré de discrétion. Sa caractéristique la plus efficace est son mécanisme d'auto-propagation ; le logiciel malveillant utilise la session WhatsApp active de la victime pour distribuer automatiquement le fichier ZIP malveillant à tous les contacts et groupes, assurant une infection rapide et généralisée.

Mécanismes financiers et cibles

L'objectif principal d'Eternidade Stealer est le vol d'identifiants. Le logiciel malveillant surveille activement le système d'une victime à la recherche de noms de processus ou de titres de fenêtres associés à des applications financières spécifiques. Lorsqu'une correspondance est détectée, il active sa fonction de vol de données. Les entités explicitement ciblées comprennent les grandes banques brésiliennes Bradesco et BTG Pactual, ainsi que les plateformes mondiales de cryptomonnaies Binance et Coinbase, et les portefeuilles logiciels populaires MetaMask et Trust Wallet. Ce ciblage large indique un effort stratégique pour compromettre une grande partie de l'écosystème financier numérique au Brésil.

Implications pour le marché

L'utilisation de WhatsApp comme vecteur de distribution principal est un développement important pour le marché. Elle exploite l'ubiquité de la plateforme et la confiance inhérente que les utilisateurs accordent aux messages de leurs contacts, rendant le logiciel malveillant exceptionnellement efficace pour se propager. Cette attaque constitue une menace directe pour les actifs des clients et érode la confiance dans la sécurité du secteur bancaire traditionnel et du secteur émergent des cryptomonnaies au Brésil. Pour les institutions ciblées, la campagne représente un risque de réputation sérieux et nécessite un examen des protocoles de sécurité axés sur le client et des efforts d'éducation.

Commentaire d'expert

Selon l'analyse de Trustwave SpiderLabs, le logiciel malveillant présente une sophistication technique notable. Il récupère dynamiquement les adresses de serveurs de commande et de contrôle (C2) en utilisant le protocole IMAP (Internet Message Access Protocol), une méthode qui permet aux attaquants de mettre à jour l'infrastructure à la volée et de compliquer les efforts de démantèlement. Les chercheurs de BlueVoyant ont suivi une campagne similaire nommée "Maverick", qui utilise également WhatsApp pour la distribution et emploie un géoblocage spécifique au Brésil, suggérant un adversaire discipliné et ciblé. La capacité du logiciel malveillant à injecter des processus et ses routines de décryptage personnalisées soulignent une menace active et évolutive.

Contexte plus large

Cette campagne s'inscrit dans une tendance plus large de logiciels malveillants financiers de plus en plus sophistiqués originaires du Brésil. Elle suit les traces de chevaux de Troie précédents comme Grandoreiro, apparu pour la première fois en 2016. Les analystes de la sécurité notent que les groupes de développeurs criminels de la région partagent souvent du code, ce qui conduit à un raffinement rapide et à l'ajout de nouvelles fonctionnalités. L'évolution des chevaux de Troie rudimentaires vers des logiciels malveillants complexes et auto-propagateurs comme Eternidade Stealer souligne la maturation du paysage de la cybercriminalité brésilienne et présente une menace persistante et croissante pour le système financier mondial.