Varoitus Brasilian kryptosijoittajille
Brasilian kryptosijoittajia kehotetaan olemaan varuillaan kehittyneen hakkerointikampanjan vuoksi, johon liittyy kaappaava mato ja pankkitroijalainen, joita jaetaan WhatsApp-viestien kautta. Trustwaven kyberturvallisuustutkimusryhmän SpiderLabsin mukaan pankkitroijalainen, tunnettu nimellä Eternidade Stealer, leviää sosiaalisen manipuloinnin kautta viestintäsovelluksessa WhatsApp.
Levinneisyys ja taktiikat
Tämä tapahtuu esimerkiksi valehallitusohjelmien, toimitusilmoitusten, ystävien viestien ja petollisten sijoitusryhmien muodossa. ”WhatsApp on edelleen yksi eniten hyväksikäytetyistä viestintäkanavista Brasilian kyberrikollisuuden ekosysteemissä. Viimeisten kahden vuoden aikana uhkaajat ovat hiottu taktiikoitaan, käyttäen alustan valtavaa suosiota pankkitroijalaisen ja tietoja varastavan haittaohjelman levittämiseen,” sanoivat SpiderLabsin tutkijat Nathaniel Morales, John Basmayor ja Nikita Kazymirskyi.
Hyökkäysprosessi
Selittäen prosessia tavalliselle kansalle, klikkaaminen matolinkkiä WhatsAppissa käynnistää ketjureaktion, joka tartuttaa uhrin sekä madolla että pankkitroijalaisella. Mato kaappaa tilin ja hankkii uhrin yhteystiedot. Se käyttää ”älykästä suodatusta” ohittaakseen liiketoimintakontaktit ja ryhmät, jotta se voi kohdistaa yksittäisiin kontakteihin tehokkaamman prosessin saavuttamiseksi.
Samaan aikaan pankkitroijalainen on tiedosto, joka ladataan automaattisesti uhrin laitteelle ja käynnistää Eternidade Stealerin taustalla. Tämä haittaohjelma pystyy skannaamaan taloudellisia tietoja ja kirjautumisia useisiin brasilialaisiin pankkeihin sekä fintech- tai kryptovaluuttapörsseihin ja -lompakoihin.
Haittaohjelman ominaisuudet
Haittaohjelmalla on myös älykäs tapa välttää havaitsemista tai sulkemista. Sen sijaan, että sillä olisi kiinteä palvelinosoite, se käyttää esiasetettua Gmail-tiliä tarkistaakseen uusia komentoja sähköpostitse. Tämä mahdollistaa hakkereiden vaihtaa komentoja lähettämällä uusia sähköposteja.
”Yksi tämän haittaohjelman huomionarvoinen piirre on se, että se käyttää kovakoodattuja tunnuksia kirjautuakseen sähköpostitiliinsä, josta se noutaa C2-palvelimensa. Se on erittäin älykäs tapa päivittää C2:ta, ylläpitää jatkuvuutta ja välttää havaitsemista tai sulkemista verkon tasolla. Jos haittaohjelma ei voi yhdistää sähköpostitiliin, se käyttää kovakoodattua varapalvelinosoitetta,” raportissa todetaan.
Kuinka pysyä turvassa
WhatsAppin kaltaisten sovellusten käyttäjiä kehotetaan olemaan varovaisia kaikissa heille lähetetyissä linkeissä, vaikka ne olisivat luotettavalta kontaktilta. Hyvä taktiikka voi olla viestiä heille erillisessä sovelluksessa varmistaakseen, että linkki on turvallinen, ja olla epäluuloinen linkistä, joka on lähetetty yllättäen ilman riittävää kontekstia.
Ohjelmiston päivittäminen voi myös auttaa suojaamaan ihmisiä mahdollisilta bugeilta, jotka kohdistuvat vanhempiin versioihin, kun taas virustorjuntaohjelmisto voi myös mahdollisesti auttaa merkitsemään ongelmia. Jos joku on joutunut hakkeroinnin kohteeksi, on tärkeää jäädyttää välittömästi kaikki mahdolliset pääsykohdat pankki- ja kryptopalveluihin, jotta vuoto saadaan pysäytettyä.
Varojen seuraaminen voi myös auttaa pörssejä, tutkijoita tai viranomaisia seuraamaan, minne varat menevät, mikä voi auttaa heitä jäädyttämään hakkereiden lompakoita.
