Новий небезпечний вірус-троян Eternidade Stealer активно розповсюджується через повідомлення у WhatsApp, націлюючись на користувачів популярних криптовалютних платформ та сервісів. Після зараження пристрою зловмисники отримують доступ до криптовалютних бірж і гаманців, зокрема Binance, OKX, Coinbase, Kraken, Bybit, MetaMask, Trust Wallet, Ledger Live, Phantom та інших.
Про це розповідає ProIT
Механізм розповсюдження та особливості вірусу
Перші випадки поширення Eternidade Stealer були зафіксовані у Бразилії, але наразі під загрозою перебувають користувачі по всьому світу. За інформацією експертів Trustwave SpiderLabs, розсилка починається із шкідливого VBScript-файлу. Цей файл запускає два модулі: Python-черв’яка, котрий викрадає список контактів WhatsApp жертви, та MSI-інсталятор, що активує сам троян Eternidade Stealer.
Черв’як фільтрує контакти, уникаючи груп і бізнес-акаунтів, і надсилає дані (номер, ім’я, статус контакту) на C2-сервер через HTTP POST. Якщо операційна система пристрою налаштована на бразильську португальську, троян додатково сканує процеси та вікна на наявність фінансових і криптовалютних сервісів, активуючись лише у разі їх виявлення.
Захист від атак та масштаби загрози
Інфраструктура керування Eternidade Stealer використовує IMAP-з’єднання до поштової скриньки для динамічного отримання адреси командного сервера, що суттєво ускладнює його блокування. Дослідники зазначають, що з 454 спроб підключення до переадресатора 452 були заблоковані через IP-адреси, які знаходилися поза межами Бразилії та Аргентини, що свідчить про застосування геофенсингу.
Головними ознаками зараження можуть бути: неочікуване повідомлення у WhatsApp із вкладенням, самовільний запуск файлів .MSI або скриптів, а також підозріла активність у криптовалютних застосунках чи гаманцях. Експерти радять не відкривати файли та посилання, отримані через WhatsApp від невідомих осіб, перевіряти відправника окремо, регулярно оновлювати програмне забезпечення та антивірус, а у разі підозри — негайно обмежувати доступ до криптобірж та гаманців.
“Ознаками загрози є: несподіване повідомлення у WhatsApp із вкладенням, запуск .MSI чи скриптів без вашої ініціативи, підозріла активність у криптовалютних додатках чи гаманцях”.
Варто пам’ятати, що WhatsApp не є єдиним каналом для атак на криптогаманці. Чотири місяці тому троян вкрав $150 тисяч у користувачів популярної безкоштовної Steam-гри Chemia, а також шкідливе програмне забезпечення було виявлено у ШІ Amazon Q.
Eternidade Stealer здатний ідентифікувати численні криптовалютні гаманці та біржі. У його сигнатурах містяться такі додатки, як Electrum, Exodus, Trust Wallet, MetaMask, а також десятки криптобірж: Binance, OKX, Crypto.com, KuCoin, Bitfinex та інші. Хоча основні атаки зафіксовано в Бразилії, спроби зараження були виявлені у 38 країнах світу, включаючи США та європейські держави.