Um novo vírus que se espalha via arquivos ZIP maliciosos ataca o WhatsApp de brasileiros. Além de roubar contatos de vítimas — e se espalhar por meio deles —, o trojan chamado Eternidade consegue invadir contas bancárias, roubar arquivos e capturas de telas.
O método começa a virar clássico: ele usa o WhatsApp móvel para enganar a vítima e força a abertura do WhatsApp Web para o download do malware final.
A descoberta, feita por pesquisadores de segurança da SpiderLabs Threat Research Team (Trustwave), revela uma campanha criminosa que mistura táticas de engenharia social para infectar smartphones com o chamado ‘Eternidade Stealer’.
Interessante notar que o cibercrime brasileiro, com os recentes ataques de trojans e malwares localizados, começa a pisar em um território mais sofisticado que foge dos padrões phishing e páginas falsas.
De acordo com a equipe que fez a descoberta, o Eternidade é um trojan bancário escrito na linguagem Delphi. “Ele usa o Protocolo de Acesso a Mensagens da Internet (IMAP) para recuperar endereços de comando e controle (C2) de forma dinâmica, permitindo que o atacante atualize seu servidor C2”, explica a equipe.
O modus operandi do Eternidade Stealer acontece da seguinte maneira:
Cibercriminosos levantam informações relacionadas ao alvo (dados vazados, contas usadas, assuntos interessantes etc);
Alvo recebe uma mensagem instigante com arquivo ZIP para download;
O arquivo ZIP possui um script VBS (Visual Basic Script) ofuscado, que automatiza tarefas no Windows;
Assim que executado, ele age de duas maneiras: é disseminado aos contatos da conta via script Pyhton (como um worm) e ativa um instalador MSI com script AutoIt para acionar o Eternidade Stealer. A partir deste ponto, dados bancários podem ser roubados; falaremos mais para frente sobre isso.
Cadeia de infecção
Segundo os pesquisadores, o Eternidade faz conexão com um servidor remoto e abusa do projeto WPPConnect, que tem código aberto. O WPPConnect é uma ferramenta livre para automatizações de WhatsApp. Dessa maneira, o cibercriminoso obtém toda a lista de contatos da vítima (nome completo e número telefônico associado).
“Os contatos são roubados e enviados para um servidor C2 assim que são coletados, sem qualquer possibilidade de impedimento”, explicam os pesquisadores. “Cada contato inclui o número de telefone e o nome da vítima, tornando-o valioso para ataques direcionados. O ID da sessão e o nome da máquina permitem que os atacantes correlacionem dados de múltiplas infecções. Os dados são então enviados via HTTP POST em texto simples (embora o HTTPS seja usado, os dados em si não são criptografados)”.
Então, assim que o arquivo ZIP é baixado, o malware envia uma mensagem para todos os contatos da conta WhatsApp da vítima, “junto de uma saudação personalizada, o arquivo malicioso e uma mensagem de acompanhamento”. A mensagem força o download via WhatsApp Web para ativar o vírus Eternidade.
Eternidade Stealer
O trojan bancário Eternidade tem a capacidade de roubar informações diversas de um dispositivo infectado. Entre as mais ‘básicas’, estão os dados de hardware do computador, como:
- Nome do computador;
- Versão e compilação do SO;
- Nome de usuário;
- Endereço IP local e público;
- Data e hora atuais;
- Software antivírus, firewall e antispyware instalados, incluindo seu estado.
As informações mais graves que ele tem a capacidade roubar envolvem credenciais (logins e senhas) e mensagens de autenticação. Ele faz isso simulando páginas falsas de bancos usados pela vítima, assim, ela preenche os campos com todos os dados necessários para acesso.
Os pesquisadores também afirmam que o vírus escaneia o computador para encontrar dados associados de serviços bancários e de criptomoedas.
Nomes de bancos escaneados: Santander, Banco do Brasil, Banrisul, Tribanco, Bradesco, Sicredi, Sicoob, BMG, BTG Pactual, BS2, Itaú, Caixa Econômica Federal (CEF), Banco Mercantil, Banco do Nordeste (BNB) e Banco da Amazônia.
Nomes de serviços de pagamento e carteiras escaneados: MercadoPago, RecargaPay, Stripe, Electrum, Exodus, Atomic Wallet, MetaMask, Ledger Live, Trust Wallet, Blockchain.com, Coinomi, Phantom Wallet, Solflare, TokenPocket e Math Wallet.
Nomes de plataformas digitais (criptomoedas) escaneadas: Binance, OKX, Crypto.com, Coinbase, Foxbit, Novadax, Bitget, Bybit, Coinext, Kucoin, Kraken, Bitstamp, Bitfinex, Poloniex, Huobi, Gate.io e Gemini.
“Esse tipo de comportamento reflete uma tática clássica de malwares bancários (bankers) e stealers de sobreposição (que simulam páginas falsas), onde componentes maliciosos permanecem inativos até que a vítima abra um aplicativo bancário ou de carteira digital alvo, garantindo que o ataque seja acionado apenas em contextos relevantes e permaneça invisível para usuários comuns ou ambientes de sandbox”, adicionam.
Por último, as capacidades do Eternidade também envolvem capturas de tela enviadas aos operadores, bem como arquivos diversos presentes no sistema operacional — incluindo fotos, vídeos etc.
“O Eternidade Stealer é uma ameaça ativa e em constante evolução que destaca duas tendências preocupantes: o uso crescente do WhatsApp como vetor de distribuição e o desenvolvimento contínuo do malware, incluindo recuperação dinâmica de C2 baseada em IMAP, técnicas de evasão aprimoradas e geolocalização para atingir vítimas brasileiras. Os profissionais de segurança cibernética devem permanecer vigilantes quanto a atividades suspeitas no WhatsApp, execuções inesperadas de MSI ou scripts e indicadores relacionados a essa campanha em andamento”, finalizam os pesquisadores.
Como se proteger de trojans, malwares e worms
O TecMundo recomenda os seguintes passos para se proteger de ameaças em aplicativos, emails e redes sociais:
- Utilize antivírus: mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);
- Atenção aos golpes direcionados: confie na sensação de estranhamento em mensagens recebidas; não faça o download de arquivos recebidos via WhatsApp, principalmente arquivos .ZIP e .PDF;
- Atenção ao CPF: utilize o Registrato, do Banco Central, para acompanhar movimentações no seu CPF;
- Proteja-se: tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);
- Utilize novas senhas longas (mais de 12 caracteres) e complexas;
- Altere suas senhas a cada seis meses e não repita entre serviços;
- Mantenha seu sistema operacional atualizado com a última versão disponível.
