Vaksamhet mot Hackerkampanj i Brasilien
Brasilianska kryptovaluta-innehavare uppmanas att vara vaksamma mot en sofistikerad hackerkampanj som involverar en kapad mask och banktrojaner som sprids via WhatsApp-meddelanden. Enligt en ny rapport från Trustwaves cybersäkerhetsforskningsgrupp SpiderLabs sprids banktrojanen, känd som Eternidade Stealer, genom social ingenjörskonst på meddelandeapplikationen WhatsApp. Detta inkluderar ”falska regeringsprogram, leveransnotifikationer, meddelanden från vänner och bedrägliga investeringsgrupper”.
”WhatsApp fortsätter att vara en av de mest utnyttjade kommunikationskanalerna i Brasiliens cyberbrottsekosystem. Under de senaste två åren har hotaktörer förfinat sina taktiker och använt plattformens enorma popularitet för att distribuera banktrojaner och informationsstjälande skadlig programvara,” säger SpiderLabs-forskarna Nathaniel Morales, John Basmayor och Nikita Kazymirskyi.
Hur Attacken Fungerar
För att förklara processen på ett enkelt sätt: ett klick på maskens länk i WhatsApp aktiverar en kedjereaktion som infekterar offret med både masken och banktrojanen. Masken kapar kontot och får tillgång till offrets kontaktlista. Den använder ”smart filtrering” för att ignorera affärskontakter och grupper, vilket gör att den kan rikta in sig på individuella kontakter för en mer effektiv process.
Under tiden är banktrojanen en fil som automatiskt laddas ner på offrets enhet och kör Eternidade Stealer i bakgrunden, vilket möjliggör skanning efter finansiella data och inloggningar till en rad brasilianska banker samt fintech- och kryptovaluta-börser och plånböcker. Infografik förklarar hur den skadliga programvaran attackerar enheter och hur hackningen fortskrider.
Undvik Upptäckter
Den skadliga programvaran har också ett smart sätt att undvika upptäckter eller att stängas ner. Istället för att ha en fast serveradress använder den ett förinställt Gmail-konto för att kontrollera efter nya kommandon via e-post. Detta gör det möjligt för hackarna att ändra kommandon genom att skicka nya e-postmeddelanden.
”En anmärkningsvärd funktion hos denna skadliga programvara är att den använder hårdkodade autentiseringsuppgifter för att logga in på sitt e-postkonto, från vilket den hämtar sin C2-server. Det är ett mycket smart sätt att uppdatera sin C2, upprätthålla uthållighet och undvika upptäckter eller nedstängningar på nätverksnivå. Om den skadliga programvaran inte kan ansluta till e-postkontot använder den en hårdkodad reserv C2-adress,” står det i rapporten.
Hur man Håller sig Säker
Användare av appar som WhatsApp rekommenderas att vara försiktiga med alla länkar som skickas till dem, även om de kommer från en pålitlig kontakt. En användbar taktik kan vara att skicka ett meddelande till dem på en separat app för att bekräfta om länken är säker, och att vara misstänksam mot länkar som skickas utan förvarning och med begränsad kontext. Att hålla programvaran uppdaterad kan också hjälpa till att skydda användare från potentiella sårbarheter som riktar sig mot äldre versioner, medan antivirusprogram kan hjälpa till att flagga problem.
Om någon har blivit hackad är det viktigt att omedelbart frysa alla potentiella åtkomstpunkter till bank- och kryptovalutatjänster för att stoppa blödningen. Att spåra medel kan också hjälpa börser, forskare eller myndigheter att följa vart tillgångarna går, vilket potentiellt kan hjälpa dem att frysa hackarnas plånböcker.
