Хакеры начали применять социальную инженерию и взлом аккаунтов WhatsApp (принадлежащий компании Meta, которая в России признана экстремистской и запрещена) для распространения банковского трояна Eternidade Stealer. Он функционирует через цепочку заражения, включающую Python, AutoIt и Delphi.
Эксперты компании Trustwave SpiderLabs предупредили, что троян использует IMAP (Internet Message Access Protocol – протокол для доступа к электронной почте, который синхронизирует почту на различных устройствах, сохраняя все сообщения на сервере, – прим. IT Speaker) для динамического получения адресов управляющих серверов, что позволяет быстро изменять инфраструктуру. Заражение начинается с запутанного VBS-скрипта, который вызывает BAT-файл и запускает два направления: Python-скрипт для распространения вредоносного ПО через сайт WhatsApp Web и MSI-установщик для Windows с AutoIt и основным трояном.
Eternidade Stealer отслеживает онлайн-банкинг, платежные системы и криптокошельки, нацеливаясь на популярные сервисы. Для связи с операторами хакеры используют почтовый ящик на terra.com.br.
Исследователи отметили, что вредоносная активность фиксируется по всему миру. Они рекомендовали быть внимательными к подозрительной активности в WhatsApp и неожиданным файлам.
Ранее исследователи из Венского университета выявили в WhatsApp новую уязвимость. Если бы хакеры воспользовались ей, они бы получили 3,5 млрд номеров пользователей.
Найдены более 600 доменов, распространявших троян DeliveryRAT
