بدافزار «Eternidade» از طریق واتس‌اپ حساب‌های بانکی را هدف قرار می‌دهد

محققان امنیت سایبری در شرکت Trustwave از شناسایی یک تروجان بانکی جدید و خطرناک خبر داده‌اند که با سوءاستفاده از اعتماد کاربران به پیام‌رسان واتس‌اپ، اطلاعات مالی آن‌ها را به سرقت می‌برد.

به گزارش تکناک بخش شبکه‌های اجتماعی، این بدافزار که «Eternidade Stealer» (به معنای ابدیت) نام دارد، به طور خاص مشتریان بانک‌ها در کشور برزیل را هدف قرار داده است.

زنجیره‌ی حمله با یک روش مهندسی اجتماعی هوشمندانه آغاز می‌شود. مجرمان سایبری با ارسال یک پیام شخصی‌سازی‌شده به زبان پرتغالی که حاوی عباراتی متناسب با زمان روز مانند «صبح بخیر» است، اعتماد اولیه قربانی را جلب می‌کنند. این ترفند ساده، پیام را در نگاه اول معتبر جلوه داده و قربانی را به کلیک بر روی فایل مخرب پیوست‌شده ترغیب می‌کند.

پس از آلوده شدن سیستم، بدافزار به سرعت کنترل حساب واتس‌اپ کاربر را در دست می‌گیرد، کل لیست مخاطبین را سرقت کرده و به سرور کنترل خود ارسال می‌کند. سپس با استفاده از یک اسکریپت پایتون، خود را به صورت خودکار برای تمام مخاطبین قربانی ارسال می‌کند و بدین ترتیب با سرعتی بالا منتشر می‌شود.

نمای WhatsApp موبایل با یک پیام مخرب حاوی فایل ".vbs.zip" و متن‌هایی مانند "I'm sending you the quote - please take a look urgently" که برای فریب کاربر استفاده شده است.

بر اساس گزارش Trustwave، این بدافزار با زبان برنامه‌نویسی دلفی (Delphi) نوشته شده است که به دلیل کارایی و محبوبیت در میان مجرمان سایبری برزیل، انتخابی رایج است. این تهدید کاملاً بومی‌سازی شده و تنها سیستم‌هایی را هدف قرار می‌دهد که زبان آن‌ها بر روی پرتغالی برزیلی تنظیم شده باشد.

پیش از آغاز حمله‌ی اصلی، Eternidade سیستم قربانی را بررسی کرده و وجود نرم‌افزارهای امنیتی مانند Windows Defender یا Kaspersky را چک می‌کند تا از شناسایی شدن جلوگیری کند. این بدافزار همچنین برای دریافت دستورات جدید، به شکلی هوشمندانه به یک حساب ایمیل خاص متصل می‌شود تا آدرس سرور کنترل خود را پیدا کند.

نمودار جریان حمله تروجان بانکی Eternidade Stealer که مراحل توزیع از طریق WhatsApp، اجرای اسکریپت‌های VBS و BAT، و در نهایت استخراج داده‌ها و C2 را نشان می‌دهد.

هدف نهایی Eternidade، سرقت اطلاعات مالی حساس است. این بدافزار لیستی بلند از برنامه‌های مالی را تحت نظر دارد و به محض اینکه قربانی یکی از این برنامه‌ها را باز کند، یک صفحه‌ی ورود جعلی (Overlay) را که کاملاً مشابه نسخه‌ی اصلی است، نمایش می‌دهد.

به نقل از hackread، قربانی که از این موضوع بی‌اطلاع است، اطلاعات ورود خود را در این فرم جعلی وارد کرده و مستقیماً اعتبارنامه‌های خود را برای مهاجمان ارسال می‌کند. لیست اهداف این بدافزار شامل بانک‌های بزرگ برزیلی مانند Itaú، Bradesco و Caixa Econômica Federal، سرویس‌های پرداخت مانند MercadoPago و حتی کیف‌پول‌ها و صرافی‌های ارز دیجیتال نظیر MetaMask، Trust Wallet و Binance می‌شود.

دو اسکرین‌شات از چت‌باکس با کاربر "jose" که حاوی یک پیام IP آدرس است؛ این پیام در هر دو برنامه ایمیل و پیام‌رسان (یا نوتیفیکیشن) نمایش داده شده است.

کارشناسان امنیتی توصیه می‌کنند که کاربران همواره نسبت به پیام‌ها و فایل‌های پیوست غیرمنتظره، حتی اگر از طرف مخاطبین شناخته‌شده ارسال شده باشند، محتاط باشند. هرگز فایل‌های مشکوک را باز نکنید و در صورت دریافت چنین پیامی، از طریق یک پلتفرم دیگر یا تماس تلفنی، صحت آن را از فرستنده جویا شوید.