Снова опасность: новый вирус через WhatsApp атакует пользователей популярных криптовалютных сервисов

Новый крайне вредоносный криптотроян под названием Eternidade Stealer начал распространяться через WhatsApp-сообщения. После заражения злоумышленники получат доступы к криптообменникам и кошелькам. Под угрозой криптовалютные платформы Binance, OKX, Coinbase, Kraken, Bybit MetaMask, Trust Wallet, Ledger Live, Phantom и др.

Распространение вируса началось с Бразилии, но сейчас под угрозой весь мир. По данным исследователей Trustwave SpiderLabs, кампания стартует с VBScript-файла, который через пакет запускает два модуля: Python-червя, захватывающего список контактов WhatsApp жертвы, и MSI-инсталлятор, который запускает Eternidade Stealer.

Червь похищает контакты, фильтруя группы и бизнес-аккаунты, и отправляет данные (номер, имя, или сохраненный контакт) через HTTP POST на C2-сервер. Если язык ОС — бразильский португальский, троян сканирует окна и процессы на наличие финансовых сервисов и криптовалютных платформ и только тогда активируется.

Инфраструктура управления использует IMAP-соединение к почтовому ящику для динамического получения адреса C2; это затрудняет блокировку и позволяет злоумышленникам гибко менять серверы. Исследователи отметили геофенсинг: из 454 попыток соединения с переадресатором 452 были заблокированы из-за IP вне Бразилии и Аргентины.

Признаками угрозы являются: неожиданное сообщение в WhatsApp с вложением, запуск .MSI или скриптов без вашей инициативы, подозрительная активность в криптовалютных приложениях или кошельках. Эксперты советуют пользователям криптовалют в регионе: не открывать файлы или ссылки, полученные через WhatsApp, если не уверены в источнике; проверять отправителя отдельно; держать программное обеспечение и антивирус обновленными; в случае сомнений — замораживать доступы к биржам и