Os pesquisadores da Cyrecurity Cyberlabs da Spiderlabs não encontraram um bankinan no cabelo, chamado “Eternidade Stealer”, que combina técnicas de engenharia social e interrupção de aplicativos de mensagens populares para enviar mensagens populares. Este malware é compatível com usuários brasileiros; Primeiro verifique se o sistema operacional está configurado para português brasileiro e ele se autodestruirá se você não encontrar outra configuração.
Os ataques geralmente começam com um arquivo malicioso ou um link enviado no WhatsApp, muitas vezes fingindo ser informações sobre programas governamentais ou mensagens de autoridades eleitas e doadores. Esses contatos costumam usar o site do WhatsApp. Assim que o worm clica no arquivo ou link, o worm é colocado e se transforma no ladrão Eternidade que mora em Delphi, que liga o aparelho.
Quando o Trojan se moveu, ele trabalhou cuidadosamente em segundo plano, examinando os dados financeiros e as credenciais de acesso de vários bancos brasileiros, da empresa de Internet Fincho e das bolsas de criptomoedas. Ao mesmo tempo, o worm monitoriza eficazmente as sessões do WhatsApp, utilizando esta informação para se isolar ainda mais, enviando cópias para os contactos e grupos do alvo, criando efetivamente uma infecção rápida.
A característica única deste malware é que ele não possui um servidor fixo (C2). Em vez disso, depende de contas pré-configuradas do Gmail para avaliar o assunto e o corpo dos e-mails recentes, usando-os para retornar novos endereços e controles. “Um dos aspectos mais importantes deste malware é o uso de credenciais codificadas para acessar contas de e-mail do C2 Refistina. Após a instalação, o Trojan pode registrar as teclas digitadas, capturar a câmera e roubar arquivos.
O Brasil viu recentemente um aumento nos ataques cibernéticos aproveitando o uso de plataformas de mensagens como o Whatsapp. Em setembro, surgiu outra campanha chamada Rano Saci, visando usuários brasileiros que possuem um worm conhecido como taltapoot, e o WhatsApp WhatsApp Web como propagação. Diz-se que esta campanha está trabalhando com outros cavalos de Troia maliciosos do .NET Banking, Maverick e Coyote, e observa-se que o respeito pelo método de destino continua a se desenvolver, não apenas na região, mas também na Argentina.
