«Привет, это я». Как безобидное сообщение в WhatsApp лишает пользователей всех сбережений

Новая серия атак в Бразилии демонстрирует, насколько быстро злоумышленники адаптируются к повседневным цифровым привычкам простых людей. В фокусе снова оказывается WhatsApp — популярный мессенджер, который в стране давно стал универсальным способом общения. Именно через него распространяется очередная вредоносная схема, сочетающая подделку переписок, управление чужими аккаунтами и заражение устройств банковским вредоносом Eternidade Stealer.

Специалисты Trustwave сообщили, что атаки строятся вокруг цепочки, начинающейся с запутанного Visual Basic-скрипта. Файл содержит комментарии на португальском языке и, будучи запущенным, извлекает сценарий, подготавливающий два дальнейших компонента. Один из них написан на Python и предназначен для распространения вредоносных вложений через WhatsApp Web.

Он подключается к удалённому серверу, использует проект WPPConnect для автоматизации отправки сообщений и извлекает список контактов, исключая бизнес-аккаунты и групповые чаты. Для каждого адресата собираются номер, имя и данные о сохранённости контакта, после чего эта информация направляется злоумышленникам, а затем всем собранным адресатам отправляется вредоносное вложение.

Второй компонент представляет собой установочный MSI-файл, который разворачивает AutoIt-скрипт. Он проверяет язык операционной системы и прекращает работу, если компьютер не принадлежит пользователю из Бразилии. Этот же модуль исследует процессы и записи в реестре, собирает данные о системе и передаёт их на управляющий сервер. Финальная стадия включает внедрение модуля Eternidade Stealer в системный процесс «svchost.exe».

Сам Eternidade Stealer написан на Delphi, что характерно для ряда группировок, действующих в Латинской Америке. Программа постоянно отслеживает открытые окна и процессы в поисках упоминаний финансовых сервисов и криптовалютных платформ, среди которых появляются Bradesco, MercadoPago, Stripe, Binance, Coinbase, MetaMask и другие.

При обнаружении подходящего окна вредонос связывается с управляющим сервером, адреса которого динамически извлекаются из почтового ящика на terra.com.br через протокол IMAP. Такой подход позволяет быстро обновлять инфраструктуру и уходить от блокировок. Если доступ к почтовому ящику невозможен, применяется запасной адрес, зашитый в код.

Следующая стадия работы означает готовность принимать команды. Управляющая сторона может запрашивать информацию о системе, отслеживать активные окна, отправлять накладываемые формы для сбора данных входа, фиксировать нажатия клавиш, делать снимки экрана и выгружать файлы. Специалисты Trustwave обнаружили две панели управления — одна отвечает за перенаправление обращений, другая за вход в систему наблюдения за заражёнными устройствами.

Инфраструктура допускает подключение только из Бразилии и Аргентины, остальной трафик перенаправляется на заглушку. Судя по журналам, из 454 попыток только две соответствовали фильтрам. Большинство остальных запросов поступало из США, а также из стран Европы, при этом фиксировались подключения с Windows, macOS, Linux и Android.

Команда Trustwave подчёркивает, что хотя схема ориентирована на Бразилию, активность устройств, пытающихся взаимодействовать с инфраструктурой, говорит о куда более широком охвате. Специалисты призывают обращать внимание на неожиданные сценарии запуска MSI-файлов, подозрительные вложения в WhatsApp и любые признаки автоматизированной отправки сообщений.