Новый опасный вирус-троян Eternidade Stealer активно распространяется через сообщения в WhatsApp, нацеливаясь на пользователей популярных криптовалютных платформ и сервисов. После заражения устройства злоумышленники получают доступ к криптовалютным биржам и кошелькам, включая Binance, OKX, Coinbase, Kraken, Bybit, MetaMask, Trust Wallet, Ledger Live, Phantom и другим.
Об этом сообщает ProIT
Механизм распространения и особенности вируса
Первые случаи распространения Eternidade Stealer были зафиксированы в Бразилии, но в настоящее время под угрозой находятся пользователи по всему миру. По информации экспертов Trustwave SpiderLabs, рассылка начинается с вредоносного VBScript-файла. Этот файл запускает два модуля: Python-червяка, который крадет список контактов WhatsApp жертвы, и MSI-установщик, активирующий сам троян Eternidade Stealer.
Червяк фильтрует контакты, избегая групп и бизнес-аккаунтов, и отправляет данные (номер, имя, статус контакта) на C2-сервер через HTTP POST. Если операционная система устройства настроена на бразильский португальский, троян дополнительно сканирует процессы и окна на наличие финансовых и криптовалютных сервисов, активируясь только в случае их обнаружения.
Защита от атак и масштабы угрозы
Инфраструктура управления Eternidade Stealer использует IMAP-соединение с почтовым ящиком для динамического получения адреса командного сервера, что существенно усложняет его блокировку. Исследователи отмечают, что из 454 попыток подключения к переадресатору 452 были заблокированы из-за IP-адресов, находившихся за пределами Бразилии и Аргентины, что свидетельствует о применении геофенсинга.
Главными признаками заражения могут быть: неожиданное сообщение в WhatsApp с вложением, самовольный запуск файлов .MSI или скриптов, а также подозрительная активность в криптовалютных приложениях или кошельках. Эксперты советуют не открывать файлы и ссылки, полученные через WhatsApp от неизвестных лиц, проверять отправителя отдельно, регулярно обновлять программное обеспечение и антивирус, а в случае подозрений — немедленно ограничивать доступ к криптобиржам и кошелькам.
«Признаками угрозы являются: неожиданное сообщение в WhatsApp с вложением, запуск .MSI или скриптов без вашей инициативы, подозрительная активность в криптовалютных приложениях или кошельках».
Стоит помнить, что WhatsApp не является единственным каналом для атак на криптокошельки. Четыре месяца назад троян украл $150 тысяч у пользователей популярной бесплатной Steam-игры Chemia, а также вредоносное программное обеспечение было обнаружено в ШИ Amazon Q.
Eternidade Stealer способен идентифицировать многочисленные криптовалютные кошельки и биржи. В его сигнатурах содержатся такие приложения, как Electrum, Exodus, Trust Wallet, MetaMask, а также десятки криптобирж: Binance, OKX, Crypto.com, KuCoin, Bitfinex и другие. Хотя основные атаки зафиксированы в Бразилии, попытки заражения были обнаружены в 38 странах мира, включая США и европейские государства.
