Внимание пользователям WhatsApp в Бразилии! Это вредоносное ПО – катастрофа для криптовалюты 🚨

от

О нет! Снова! Новое вредоносное ПО для WhatsApp нацелено на пользователей из Бразилии, крадет банковские и криптоданные, распространяясь как цифровая чума. 🐍💸

Быстрая вредоносная кампания нацелена на пользователей WhatsApp по всей Бразилии. И когда мы говорим «быстрая», мы имеем в виду, что она быстрее, чем Wi-Fi вашей бабушки. 🚀

🚀 Хотите знать, когда взлет, а когда паника?
Добро пожаловать в CryptoMoon, где новости быстрее ракетного старта! 🔥

Присоединиться в Telegram

Эта «WhatsApp Worm» была обнаружена, распространяясь через взломанные аккаунты и обманывая людей, заставляя их открывать вредоносные файлы. Ведь кто не любит подозрительную ссылку от друга? 📱😅

Исследователи предупреждают, что вредоносное ПО использует обновленные методы, которые затрудняют его обнаружение или блокировку. Потому что ничто так не говорит «Я злодей», как техническая подкованность. 🔍😈

Как начинается кампания вредоносного ПО WhatsApp (и почему вам стоит беспокоиться)

Злоумышленники обычно начинают свою кампанию с простых сообщений, в которых отправляют фальшивые предупреждения о государственной помощи, доставке посылок или инвестиционных группах. Ведь кто не хочет поверить в чудо? 📦✨

Некоторые сообщения выглядят так, будто они пришли от друзей или семьи, и жертвы обманом заставляют нажать на ссылку, что запускает цепную реакцию. Это как цифровая версия игры «У меня есть секрет!» 🤫

Атака начинается с небольшого скрипта, который тихо загружает два основных файла. Один управляет распространением червя, а другой устанавливает банковский троян, известный как Eternidade Stealer. Ведь зачем один злодей, когда можно иметь двух? 🦹‍♂️🦸‍♀️

Скрипт включает комментарии на португальском языке и проверяет наличие системы бразильского португальского. Если он не находит её, он завершает работу. Это показывает, что цель злоумышленников — местные жертвы, а не глобальные. Потому что Бразилия — их любивая площадка. 🇧🇷

Злоумышленники также перешли от старых методов PowerShell к Python-скрипту. Этот скрипт работает через WhatsApp Web и использует WPPConnect для автоматической отправки сообщений. Потому что ничто так не говорит «Я хакер», как Python. 🐍

Он копирует полный список контактов жертвы. Он также пропускает бизнес-аккаунты и группы, чтобы сосредоточиться на людях, которые с большей вероятностью доверят отправителю. Зачем нацеливаться на незнакомцев, когда можно нацелиться на своего лучшего друга? 👯‍♀️

Как червь взламывает аккаунты WhatsApp (и почему следующая жертва – вы)

После активации червь берет под контроль сессию WhatsApp жертвы. Он собирает номера телефонов, имена и данные, показывающие, является ли кто-то сохраненным контактом. Потому что нет ничего, что говорило бы «Я сталкер», как знание ваших контактов. 🕵️‍♂️

Затем эта информация отправляется на сервер, контролируемый злоумышленниками. Ведь кому нужна конфиденциальность, когда у вас может быть цифровой шпион? 📶

После этого червь отправляет вредоносный файл всем контактам. Он использует короткий шаблон сообщения, часто с приветствием, соответствующим времени суток. Потому что ничто так не говорит о «Я дружелюбный», как спам-сообщение в 3 часа ночи. 🕒

Многие люди доверяют этим сообщениям, потому что кажется, что они приходят от кого-то, кого они знают, и это помогает вредоносному ПО распространяться среди семьи, друзей и коллег. Потому что доверие — это слабость. 💔

Эта кампания напоминает другую недавнюю атаку на бразильских пользователей, известную как Water Saci. Эта атака также распространялась через WhatsApp Web и доставляла аналогичный банковский троян. Модель этих попыток взлома указывает на то, что они исходят от активных групп, работающих в Бразилии, и эта группа совершенствует одни и те же методы во многих кампаниях. Потому что нет ничего, что говорило бы «Я профессионал», как повторение одних и тех же трюков. 🎩

Связанное чтение: Федеральная полиция изъяла криптовалюты у хакеров WhatsApp в Аргентине (Но почему ждать Бразилию?)

Что делает Eternidade Stealer после заражения (Спойлер: Ничего хорошего).

Троян, поставляемый с червем, является основной угрозой. Он работает в фоновом режиме и сканирует компьютер на наличие открытых окон, процессов и вкладок браузера. Потому что ничто так не говорит «Я люблю совать нос в чужие дела», как троян. 🕵️‍♀️

Eternidade Stealer ищет окна входа в банки, такие как Bradesco и BTG Pactual. Он также проверяет сервисы финансовых технологий, такие как MercadoPago и Stripe. Ведь кому не хочется узнать ваши финансовые секреты? 💸

Он также ищет крипто-сервисы, включая Binance, Coinbase, MetaMask и Trust Wallet. Когда он находит совпадение, он начинает записывать нажатия клавиш, делать скриншоты или красть сохраненные файлы. Потому что ничего не говорит «Я вор», как кража вашей криптовалюты. 🛡️

Это вредоносное ПО даже использует уникальный метод для предотвращения отключений и не полагается на фиксированный сервер. Вместо этого оно входит в предварительно настроенный почтовый ящик, используя жёстко заданные учётные данные. Потому что ничто так не говорит о «безопасности», как жёстко заданный адрес электронной почты. 📧

Он считывает входящие сообщения на предмет новых команд от злоумышленников. Если входящие сообщения недоступны, он возвращается к адресу резервного сервера. Такая настройка помогает вредоносному ПО выживать при изменениях или отключениях. Потому что ничто так не говорит о «Я устойчив», как план Б. 🛠️

Исследователи обнаружили, что злоумышленники используют панели для управления заражёнными устройствами. Они отслеживают местоположение жертв и блокируют почти весь трафик, который не поступает из Бразилии или Аргентины. Это позволяет их серверам не привлекать к себе внимания. Потому что ничто так не говорит о «я действую скрытно», как блокировка трафика. 🚫

Это то, что не позволяет их серверам привлекать внимание. Потому что нет ничего, что говорило бы «Я невидимка», как хорошо защищенный сервер. 🕳️

Смотрите также

2025-11-20 18:17