Un ver WhatsApp propage un cheval de Troie bancaire à travers le Brésil et cible les portefeuilles de crypto-monnaies

La campagne utilise un cheval de Troie bancaire appelé Eternidade Stealer qui cible spécifiquement les portefeuilles de crypto-monnaies et les identifiants financiers sur le plus grand marché d'actifs numériques d'Amérique latine.

Comment fonctionne l'attaque

Le logiciel malveillant se propage via WhatsApp en utilisant deux composants principaux : un ver auto-réplicant et un cheval de Troie bancaire. Lorsque les victimes cliquent sur un lien malveillant envoyé via WhatsApp, elles déclenchent une séquence automatisée qui détourne leur compte et télécharge un logiciel nuisible en arrière-plan.

Les chercheurs de Trustwave SpiderLabs ont identifié cette campagne en novembre 2025. Les chercheurs ont noté que les acteurs malveillants utilisent de faux programmes gouvernementaux, des notifications de livraison et des groupes d'investissement frauduleux pour inciter les gens à cliquer sur des liens malveillants.

Le composant ver détourne les comptes WhatsApp et accède aux listes de contacts. Il utilise un filtrage intelligent pour ignorer les contacts professionnels et les groupes, se concentrant plutôt sur les personnes individuelles qui sont plus susceptibles de tomber dans le piège. Le logiciel malveillant envoie ensuite automatiquement des messages personnalisés à chaque contact, en utilisant leurs vrais noms et des salutations appropriées en portugais.

Source : trustwave.com

Pendant ce temps, le cheval de Troie bancaire s'installe silencieusement sur l'appareil de la victime. Cet Eternidade Stealer analyse les applications financières et les portefeuilles de crypto-monnaies exécutés sur l'ordinateur. Lorsqu'il détecte des applications bancaires ou des échanges de crypto-monnaies, le logiciel malveillant s'active immédiatement et commence à voler les identifiants de connexion.

Services financiers et plateformes de crypto-monnaies ciblés

Le logiciel malveillant cible un large éventail d'institutions financières brésiliennes, y compris des grandes banques comme Bradesco, BTG Pactual, Itaú, Santander et Caixa Econômica Federal. Les services de paiement tels que MercadoPago et Stripe figurent également sur la liste des cibles.

Pour les utilisateurs de crypto-monnaies, la menace est particulièrement grave. Le logiciel malveillant recherche les identifiants des plateformes d'échange, notamment Binance, Coinbase, Kraken et de nombreuses autres. Il cible également les portefeuilles de crypto-monnaies populaires comme MetaMask, Trust Wallet, Exodus, Ledger Live et Phantom Wallet, parmi beaucoup d'autres.

Le Brésil représente une cible attrayante pour les cybercriminels en raison de son adoption significative des crypto-monnaies. Le pays se classe cinquième au niveau mondial sur l'indice d'adoption des crypto-monnaies de Chainalysis et a traité environ 319 milliards de dollars de transactions en crypto-monnaies entre mi-2024 et mi-2025.

Techniques d'évasion avancées

Ce qui rend Eternidade Stealer particulièrement dangereux est son approche intelligente pour éviter la détection. Contrairement aux logiciels malveillants typiques qui se connectent à des adresses de serveur fixes, ce cheval de Troie utilise des comptes email pour recevoir des instructions des pirates.

Le logiciel malveillant contient des identifiants de connexion codés en dur pour les comptes Gmail. Il se connecte à ces comptes en utilisant des protocoles email standard (IMAP) pour vérifier les nouvelles commandes. Cette méthode se fond dans le trafic email normal, rendant plus difficile pour les systèmes de sécurité de le détecter et de le bloquer.

Si les autorités ferment un serveur de commande, les attaquants envoient simplement un nouvel email avec des adresses de serveur mises à jour. Le logiciel malveillant vérifie l'email, extrait le nouvel emplacement du serveur et continue à fonctionner. Ce système basé sur l'email aide le logiciel malveillant à maintenir sa persistance et à éviter les fermetures au niveau du réseau.

Le cheval de Troie ne s'active également que sur les ordinateurs utilisant le portugais brésilien comme langue système. S'il détecte une autre langue, le logiciel malveillant se termine immédiatement. Ce ciblage hyper-focalisé aide les attaquants à éviter les chercheurs en sécurité et à concentrer les ressources sur leurs victimes prévues.

Campagnes connexes et menaces plus larges

Les chercheurs en sécurité ont suivi plusieurs campagnes connexes ciblant les utilisateurs brésiliens via WhatsApp. En septembre 2025, Trend Micro a identifié une campagne appelée Water Saci qui propageait un logiciel malveillant nommé SORVEPOTEL. Cette campagne a infecté des organisations gouvernementales, des entreprises manufacturières et des institutions éducatives à travers le Brésil.

Un autre cheval de Troie bancaire appelé Maverick se propage également via WhatsApp depuis début 2025. Ces campagnes partagent des techniques similaires, notamment le détournement de WhatsApp et le ciblage des institutions financières brésiliennes.

La campagne Eternidade Stealer représente une évolution de ces menaces antérieures. Les attaquants sont passés des scripts PowerShell à la programmation Python, rendant leur ver plus efficace pour se propager via les contacts WhatsApp. Ils ont également ajouté le système de commande innovant basé sur l'email qui rend le logiciel malveillant plus difficile à neutraliser.

Les journaux de sécurité de l'infrastructure des acteurs malveillants ont révélé une portée mondiale surprenante. Bien que le logiciel malveillant cible spécifiquement le Brésil, des tentatives de connexion provenaient de 38 pays différents. Les États-Unis ont montré le plus grand nombre de connexions avec 196 tentatives, suivis par les Pays-Bas, l'Allemagne et le Royaume-Uni.

Mesures de protection pour les utilisateurs et les organisations

Les utilisateurs de WhatsApp doivent faire preuve d'une extrême prudence avec tous les liens reçus via l'application, même de contacts de confiance. Si quelqu'un envoie un lien inattendu avec un contexte limité, vérifiez-le par un autre canal de communication avant de cliquer.

Les experts en sécurité recommandent plusieurs mesures de protection. Gardez tous les logiciels et systèmes d'exploitation à jour pour corriger les vulnérabilités que les logiciels malveillants pourraient exploiter. Installez un logiciel antivirus réputé qui peut détecter et bloquer les fichiers malveillants. Soyez particulièrement méfiant des messages concernant des programmes gouvernementaux, des notifications de livraison ou des opportunités d'investissement qui arrivent de façon inattendue.

Si quelqu'un soupçonne que son compte a été compromis, une action immédiate est cruciale. Gelez immédiatement l'accès à tous les comptes bancaires et de crypto-monnaies. Contactez les institutions financières et les plateformes d'échange pour signaler la violation. Surveillez attentivement toutes les transactions, car cela peut aider les autorités à suivre les fonds volés et potentiellement à geler les portefeuilles des pirates.

Les organisations font face à des responsabilités supplémentaires pour protéger leurs réseaux. Les administrateurs informatiques devraient configurer les appareils d'entreprise pour désactiver les téléchargements automatiques de médias et de documents sur WhatsApp. Utilisez la sécurité des terminaux et les politiques de pare-feu pour restreindre les transferts de fichiers via les applications de messagerie personnelles sur les ordinateurs de travail.

La menace croissante des attaques de portefeuilles de crypto-monnaies s'étend au-delà du Brésil. Des campagnes de logiciels malveillants similaires ont ciblé des utilisateurs dans le monde entier, les attaquants développant constamment de nouvelles techniques pour voler des actifs numériques. Les portefeuilles matériels qui nécessitent une confirmation physique des transactions restent l'option la plus sécurisée pour stocker des crypto-monnaies.

Le paysage évolutif des crypto-monnaies au Brésil en fait une cible de plus en plus attrayante. Le pays envisage d'ajouter Bitcoin aux réserves nationales et de mettre en œuvre des réglementations complètes sur les stablecoins, des développements qui signalent une adoption grand public croissante. Cette activité accrue attire naturellement plus d'attention de la part des cybercriminels cherchant à exploiter les utilisateurs.

La course aux armements numériques continue

La campagne Eternidade Stealer démontre comment les cybercriminels adaptent rapidement leurs tactiques pour exploiter des plateformes populaires comme WhatsApp. Leur utilisation de systèmes de commande basés sur l'email et de filtrage géographique hyper-ciblé montre une sécurité opérationnelle sophistiquée. Alors que le marché des crypto-monnaies du Brésil continue de croître, les utilisateurs doivent rester vigilants contre les attaques d'ingénierie sociale en évolution qui exploitent la confiance dans les outils de communication quotidiens. La meilleure défense combine un scepticisme sain envers les messages inattendus, des logiciels de sécurité robustes et des protocoles de réponse immédiats en cas de compromission.