Червь WhatsApp распространяет банковский троян по Бразилии, нацелен на криптовалютные кошельки

В кампании используется банковский троян под названием Eternidade Stealer, который специально нацелен на крипто-кошельки и финансовые логины на крупнейшем рынке цифровых активов Латинской Америки.

Как работает атака

Вредоносное ПО распространяется через WhatsApp, используя два основных компонента: самовоспроизводящийся червь и банковский троян. Когда жертвы нажимают на вредоносную ссылку, отправленную через WhatsApp, они запускают автоматическую последовательность, которая захватывает их аккаунт и загружает вредоносное программное обеспечение в фоновом режиме.

Исследователи Trustwave SpiderLabs обнаружили эту кампанию в ноябре 2025 года. Исследователи отметили, что злоумышленники используют поддельные государственные программы, уведомления о доставке и мошеннические инвестиционные группы, чтобы обманом заставить людей нажимать на вредоносные ссылки.

Компонент червя захватывает аккаунты WhatsApp и получает доступ к спискам контактов. Он использует интеллектуальную фильтрацию, чтобы игнорировать бизнес-контакты и группы, фокусируясь вместо этого на отдельных людях, которые с большей вероятностью попадутся на мошенничество. Затем вредоносное ПО автоматически отправляет персонализированные сообщения каждому контакту, используя их настоящие имена и соответствующие времени приветствия на португальском языке.

Источник: trustwave.com

Тем временем банковский троян тихо устанавливается на устройство жертвы. Этот Eternidade Stealer сканирует финансовые приложения и крипто-кошельки, работающие на компьютере. Когда он обнаруживает банковские приложения или криптовалютные биржи, вредоносное ПО немедленно активируется и начинает красть учетные данные для входа.

Целевые финансовые услуги и крипто-платформы

Вредоносное ПО нацелено на широкий спектр бразильских финансовых учреждений, включая крупные банки, такие как Bradesco, BTG Pactual, Itaú, Santander и Caixa Econômica Federal. Платежные сервисы, такие как MercadoPago и Stripe, также находятся в списке целей.

Для пользователей криптовалют угроза особенно серьезна. Вредоносное ПО охотится за учетными данными с бирж, включая Binance, Coinbase, Kraken и многие другие. Оно также нацелено на популярные крипто-кошельки, такие как MetaMask, Trust Wallet, Exodus, Ledger Live и Phantom Wallet среди многих других.

Бразилия представляет собой привлекательную цель для киберпреступников из-за значительного принятия криптовалют. Страна занимает пятое место в мире по индексу принятия криптовалют Chainalysis и обработала примерно 319 миллиардов $ в криптовалютных транзакциях между серединой 2024 и серединой 2025 года.

Продвинутые методы уклонения

Что делает Eternidade Stealer особенно опасным, так это его умный подход к избеганию обнаружения. В отличие от типичного вредоносного ПО, которое подключается к фиксированным адресам серверов, этот троян использует учетные записи электронной почты для получения инструкций от хакеров.

Вредоносное ПО содержит жестко закодированные учетные данные для входа в аккаунты Gmail. Оно подключается к этим аккаунтам, используя стандартные протоколы электронной почты (IMAP), чтобы проверить наличие новых команд. Этот метод сливается с обычным почтовым трафиком, что затрудняет обнаружение и блокировку системами безопасности.

Если власти отключают один командный сервер, злоумышленники просто отправляют новое электронное письмо с обновленными адресами серверов. Вредоносное ПО проверяет электронную почту, извлекает новое местоположение сервера и продолжает работать. Эта система на основе электронной почты помогает вредоносному ПО сохранять устойчивость и избегать отключений на уровне сети.

Троян также активируется только на компьютерах, использующих бразильский португальский в качестве системного языка. Если он обнаруживает любой другой язык, вредоносное ПО немедленно прекращает свою работу. Это гиперфокусированное таргетирование помогает злоумышленникам избегать исследователей безопасности и сосредоточить ресурсы на своих предполагаемых жертвах.

Связанные кампании и более широкие угрозы

Исследователи безопасности отследили несколько связанных кампаний, нацеленных на бразильских пользователей через WhatsApp. В сентябре 2025 года Trend Micro идентифицировала кампанию под названием Water Saci, которая распространяла вредоносное ПО под названием SORVEPOTEL. Эта кампания заразила правительственные организации, производственные компании и образовательные учреждения по всей Бразилии.

Другой банковский троян под названием Maverick также распространяется через WhatsApp с начала 2025 года. Эти кампании используют схожие методы, включая захват WhatsApp и нацеливание на бразильские финансовые учреждения.

Кампания Eternidade Stealer представляет собой эволюцию этих ранних угроз. Злоумышленники перешли от скриптов PowerShell к программированию на Python, делая своего червя более эффективным в распространении через контакты WhatsApp. Они также добавили инновационную систему команд на основе электронной почты, которая затрудняет отключение вредоносного ПО.

Журналы безопасности из собственной инфраструктуры злоумышленников выявили удивительный глобальный охват. Хотя вредоносное ПО нацелено конкретно на Бразилию, попытки подключения поступали из 38 разных стран. Соединенные Штаты показали наибольшее количество подключений с 196 попытками, за ними следуют Нидерланды, Германия и Соединенное Королевство.

Шаги защиты для пользователей и организаций

Пользователи WhatsApp должны проявлять крайнюю осторожность с любыми ссылками, полученными через приложение, даже от доверенных контактов. Если кто-то отправляет неожиданную ссылку с ограниченным контекстом, проверьте ее через другой канал связи перед нажатием.

Эксперты по безопасности рекомендуют несколько защитных мер. Поддерживайте все программное обеспечение и операционные системы в актуальном состоянии, чтобы устранить уязвимости, которые может использовать вредоносное ПО. Установите надежное антивирусное программное обеспечение, которое может обнаруживать и блокировать вредоносные файлы. Будьте особенно подозрительны к сообщениям о государственных программах, уведомлениях о доставке или инвестиционных возможностях, которые приходят неожиданно.

Если кто-то подозревает, что его аккаунт был скомпрометирован, немедленные действия критически важны. Немедленно заблокируйте доступ ко всем банковским и криптовалютным счетам. Свяжитесь с финансовыми учреждениями и биржами, чтобы сообщить о нарушении. Внимательно следите за всеми транзакциями, так как это может помочь властям отследить украденные средства и потенциально заморозить кошельки хакеров.

Организации сталкиваются с дополнительными обязанностями по защите своих сетей. ИТ-администраторы должны настроить корпоративные устройства для отключения автоматической загрузки медиа и документов в WhatsApp. Используйте политики безопасности конечных точек и брандмауэра для ограничения передачи файлов через приложения личных сообщений на рабочих компьютерах.

Растущая угроза атак на крипто-кошельки выходит за пределы Бразилии. Подобные вредоносные кампании нацелены на пользователей по всему миру, при этом злоумышленники постоянно разрабатывают новые методы для кражи цифровых активов. Аппаратные кошельки, требующие физического подтверждения транзакций, остаются наиболее безопасным вариантом для хранения криптовалюты.

Развивающийся криптовалютный ландшафт Бразилии делает ее все более привлекательной целью. Страна рассматривает возможность добавления Биктоина в национальные резервы и внедрения комплексного регулирования стейблкоинов, что свидетельствует о растущем массовом принятии. Эта повышенная активность естественным образом привлекает больше внимания со стороны киберпреступников, стремящихся эксплуатировать пользователей.

Цифровая гонка вооружений продолжается

Кампания Eternidade Stealer демонстрирует, как киберпреступники быстро адаптируют свою тактику для использования популярных платформ, таких как WhatsApp. Их использование систем команд на основе электронной почты и гипертаргетированной географической фильтрации показывает сложную операционную безопасность. По мере роста криптовалютного рынка Бразилии пользователи должны оставаться бдительными против развивающихся атак социальной инженерии, которые используют доверие к повседневным инструментам коммуникации. Лучшая защита сочетает в себе здоровый скептицизм по отношению к неожиданным сообщениям, надежное программное обеспечение безопасности и немедленные протоколы реагирования при компрометации.