Phần mềm độc hại Eternidade Stealer nhắm mục tiêu vào ngành tài chính Brazil qua WhatsApp

Tóm tắt điều hành

Các nhà nghiên cứu an ninh mạng đã xác định một chiến dịch phần mềm độc hại mới, hung hãn ở Brazil liên quan đến một trojan ngân hàng có tên là Eternidade Stealer. Phần mềm độc hại này đang lây lan nhanh chóng qua WhatsApp và được thiết kế để đánh cắp thông tin đăng nhập từ danh sách các ngân hàng, công ty fintech và sàn giao dịch tiền điện tử lớn của Brazil. Phân tích từ các công ty bao gồm Trustwave SpiderLabs, BlueVoyant và Trend Research chỉ ra rằng chiến dịch này thể hiện sự phát triển trong các chiến thuật được sử dụng bởi các nhóm tội phạm mạng Brazil, những người đang ngày càng tận dụng các nền tảng giao tiếp phổ biến để thực hiện các cuộc tấn công quy mô lớn.

Chi tiết sự kiện

Cuộc tấn công bắt đầu bằng kỹ thuật xã hội, trong đó người dùng bị lừa tải xuống một kho lưu trữ ZIP từ tin nhắn WhatsApp. Kho lưu trữ này chứa một tệp lối tắt độc hại (.lnk) thay vì một tệp thực thi trực tiếp. Khi mở, lối tắt này chạy một lệnh bị xáo trộn để tải xuống và thực thi tải trọng chính. Phần mềm độc hại, một trình tải xuống .NET được bảo vệ bởi ArmDot, sau đó tiêm shellcode vào tiến trình powershell_ise.exe. Điều này cho phép nó hoạt động ở một mức độ tàng hình. Tính năng hiệu quả nhất của nó là cơ chế tự lan truyền; phần mềm độc hại sử dụng phiên WhatsApp đang hoạt động của nạn nhân để tự động phân phối tệp ZIP độc hại đến tất cả các liên hệ và nhóm, đảm bảo lây nhiễm nhanh chóng và rộng khắp.

Cơ chế tài chính và mục tiêu

Mục tiêu chính của Eternidade Stealer là đánh cắp thông tin đăng nhập. Phần mềm độc hại tích cực giám sát hệ thống của nạn nhân để tìm tên tiến trình hoặc tiêu đề cửa sổ liên quan đến các ứng dụng tài chính cụ thể. Khi phát hiện thấy trùng khớp, nó sẽ kích hoạt chức năng đánh cắp dữ liệu. Các thực thể bị nhắm mục tiêu rõ ràng bao gồm các ngân hàng lớn của Brazil là Bradesco và BTG Pactual, cùng với các nền tảng tiền điện tử toàn cầu Binance và Coinbase, và các ví phần mềm phổ biến MetaMask và Trust Wallet. Việc nhắm mục tiêu rộng rãi này cho thấy một nỗ lực chiến lược nhằm xâm phạm một phần lớn hệ sinh thái tài chính kỹ thuật số ở Brazil.

Tác động thị trường

Việc sử dụng WhatsApp làm kênh phân phối chính là một sự phát triển thị trường quan trọng. Nó tận dụng sự phổ biến của nền tảng và niềm tin cố hữu của người dùng vào các tin nhắn từ danh bạ của họ, khiến phần mềm độc hại đặc biệt hiệu quả trong việc lan truyền. Cuộc tấn công này đặt ra mối đe dọa trực tiếp đối với tài sản của khách hàng và làm xói mòn niềm tin vào bảo mật của cả ngành ngân hàng truyền thống và ngành tiền điện tử mới nổi ở Brazil. Đối với các tổ chức bị nhắm mục tiêu, chiến dịch này thể hiện một rủi ro danh tiếng nghiêm trọng và đòi hỏi phải xem xét lại các giao thức bảo mật hướng tới khách hàng và các nỗ lực giáo dục.

Bình luận của chuyên gia

Theo phân tích từ Trustwave SpiderLabs, phần mềm độc hại này thể hiện sự tinh vi kỹ thuật đáng chú ý. Nó động bộ truy xuất địa chỉ máy chủ chỉ huy và kiểm soát (C2) bằng Giao thức truy cập thư Internet (IMAP), một phương pháp cho phép những kẻ tấn công cập nhật cơ sở hạ tầng một cách linh hoạt và làm phức tạp các nỗ lực gỡ bỏ. Các nhà nghiên cứu tại BlueVoyant đã theo dõi một chiến dịch tương tự có tên là "Maverick", cũng sử dụng WhatsApp để phân phối và áp dụng định vị địa lý cụ thể của Brazil, cho thấy một đối thủ có kỷ luật và tập trung. Khả năng tiêm tiến trình của phần mềm độc hại và các quy trình giải mã tùy chỉnh của nó làm nổi bật một mối đe dọa đang hoạt động và đang phát triển.

Bối cảnh rộng hơn

Chiến dịch này là một phần của xu hướng phần mềm độc hại tài chính ngày càng tinh vi có nguồn gốc từ Brazil. Nó nối tiếp các trojan trước đây như Grandoreiro, xuất hiện lần đầu vào năm 2016. Các nhà phân tích bảo mật lưu ý rằng các nhóm phát triển tội phạm trong khu vực thường chia sẻ mã, dẫn đến cải tiến nhanh chóng và bổ sung các tính năng mới. Sự phát triển từ các trojan thô sơ sang các phần mềm độc hại tự lan truyền phức tạp như Eternidade Stealer nhấn mạnh sự trưởng thành của bối cảnh tội phạm mạng Brazil và đặt ra một mối đe dọa dai dẳng và ngày càng tăng đối với hệ thống tài chính toàn cầu.