Advarsel til brasilianske kryptovalutaindehavere
Brasilianske kryptovalutaindehavere opfordres til at være opmærksomme på en sofistikeret hackingkampagne, der involverer en hijacking-orm og banktrojaner, der distribueres via WhatsApp-beskeder. Ifølge en ny rapport fra Trustwaves cybersikkerhedsforskningshold, SpiderLabs, bliver banktrojaneren, kendt som “Eternidade Stealer”, spredt gennem social engineering på messaging-applikationen WhatsApp.
Metoder til spredning
Hackingkampagnen inkluderer falske regeringsprogrammer, leveringsnotifikationer, beskeder fra venner og svigagtige investeringsgrupper. “WhatsApp fortsætter med at være en af de mest udnyttede kommunikationskanaler i Brasils cyberkriminalitetsøkosystem. I løbet af de sidste to år har trusselaktører forfinet deres taktikker ved at udnytte platformens enorme popularitet til at distribuere banktrojanere og informationsstjælende malware,” sagde SpiderLabs-forskerne Nathaniel Morales, John Basmayor og Nikita Kazymirskyi.
Hvordan angrebet fungerer
For at forklare processen i almindelige termer, aktiverer et klik på orm-linket i WhatsApp en kædereaktion, der inficerer offeret med både ormen og banktrojaneren. Ormen hijacker kontoen og får adgang til offerets kontaktliste. Den bruger “smart filtrering” til at ignorere forretningskontakter og grupper for at målrette individuelle kontakter for en mere effektiv proces.
I mellemtiden er banktrojaneren en fil, der automatisk downloades til offerets enhed og implementerer Eternidade Stealer i baggrunden, hvilket gør det muligt at scanne efter finansielle data og loginoplysninger til en række brasilianske banker samt fintech- eller kryptovalutabørser og tegnebøger.
Undgåelse af opdagelse
Malware har også en smart metode til at undgå opdagelse eller nedlukning. I stedet for at have en fast serveradresse bruger den en forudindstillet Gmail-konto til at tjekke for nye kommandoer via e-mail. Dette gør det muligt for hackerne at ændre kommandoer ved at sende nye e-mails. “En bemærkelsesværdig funktion ved denne malware er, at den bruger hardkodede legitimationsoplysninger til at logge ind på sin e-mail-konto, hvorfra den henter sin C2-server. Det er en meget smart måde at opdatere sin C2, opretholde vedholdenhed og undgå opdagelse eller nedlukninger på netværksniveau. Hvis malware ikke kan oprette forbindelse til e-mail-kontoen, bruger den en hardkodet fallback C2-adresse,” står der i rapporten.
Hvordan man forbliver sikker
Brugere af apps som WhatsApp rådes til at være forsigtige med ethvert link, der sendes til dem, selvom det er fra en betroet kontakt. En nyttig taktik kan være at sende dem en besked på en separat app for at bekræfte, om linket er sikkert, og at være mistænksom over for links sendt uden kontekst. At holde software opdateret kan også hjælpe med at beskytte mod potentielle sårbarheder, der målretter ældre versioner, mens antivirussoftware kan hjælpe med at flagge problemer.
Hvis nogen er blevet hacket, er det vigtigt straks at fryse alle potentielle adgangspunkter til bank- og kryptovalutatjenester for at stoppe blødningen. At spore midler kan også hjælpe børser, forskere eller myndigheder med at følge, hvor aktiverne går hen, hvilket potentielt kan hjælpe med at fryse hackerens tegnebøger.
