Pesquisadores de cibersegurança revelaram detalhes de uma nova campanha que combina engenharia social e sequestro de contas no WhatsApp para distribuir um trojan bancário chamado Eternidade Stealer.
Desenvolvido em Delphi, o malware tem como alvo principal usuários no Brasil.
Segundo os especialistas do Trustwave SpiderLabs Nathaniel Morales, John Basmayor e Nikita Kazymirskyi, o malware utiliza o protocolo IMAP (Internet Message Access Protocol) para buscar dinamicamente endereços de servidores de comando e controle (C2), permitindo aos cibercriminosos atualizá-los conforme necessário.
A campanha se espalha por meio de um worm no WhatsApp, agora baseado em um script Python, que substitui versões anteriores em PowerShell para sequestrar contas e enviar anexos maliciosos.
Essa estratégia surge pouco tempo após outra operação, chamada Water Saci, que explorava uma ameaça similar pelo WhatsApp Web para propagar o trojan Maverick, uma evolução do malware bancário Coyote.
O caso do Eternidade Stealer destaca o uso da popularidade do WhatsApp no Brasil para comprometer sistemas e lançar ataques em larga escala contra instituições locais.
Outro ponto relevante é a preferência por malwares desenvolvidos em Delphi na América Latina, motivada tanto pela eficiência técnica quanto pela familiaridade dos desenvolvedores da região com essa linguagem.
O ataque começa com a execução de um script Visual Basic, ofuscado e com comentários principalmente em português.
Esse script aciona um arquivo batch que entrega duas payloads maliciosas, iniciando duas frentes na cadeia de infecção: um script Python que automatiza a disseminação via WhatsApp e um instalador MSI que executa o Eternidade Stealer por meio de um script AutoIt.
O script Python se comunica com um servidor remoto e utiliza a ferramenta open source WPPConnect para enviar mensagens automaticamente pelas contas sequestradas.
Ele coleta toda a lista de contatos da vítima, excluindo grupos, contatos comerciais e listas de transmissão.
Para cada contato, captura número de telefone, nome e se está salvo na agenda, enviando essas informações ao servidor dos criminosos via requisição HTTP POST.
Em seguida, distribui um anexo malicioso usando modelos de mensagem personalizados, com saudações temporais e nomes dos contatos.
Paralelamente, o instalador MSI lança várias payloads, entre elas um script AutoIt que verifica se o sistema está configurado para português brasileiro.
Caso contrário, o malware se desativa para evitar infecções fora do alvo regional, mostrando uma abordagem altamente segmentada.
O script também escaneia processos ativos e chaves de registro em busca de antivírus e outras soluções de segurança, enviando um perfil detalhado da máquina para o servidor C2.
Por fim, o trojan é injetado no processo svchost.exe por meio da técnica de process hollowing.
O Eternidade Stealer tem como função roubar credenciais, monitorando janelas e processos ativos em busca de termos relacionados a bancos, serviços de pagamento e carteiras de criptomoedas populares, como Bradesco, BTG Pactual, Mercado Pago, Stripe, Binance, Coinbase, MetaMask e Trust Wallet.
Esse comportamento é típico de um banker ou overlay stealer, ativando-se apenas quando o usuário acessa aplicativos sensíveis, o que dificulta sua detecção em ambientes de análise genéricos ou por usuários desavisados.
Ao identificar uma aplicação-alvo, o malware consulta um servidor C2, cujos detalhes são obtidos por meio de uma caixa de entrada vinculada a um e-mail terra.com.br, replicando uma técnica já observada no Water Saci.
Isso garante persistência, atualização dos servidores de comando e evasão contra bloqueios.
Se não conseguir acessar essa conta de e-mail usando credenciais embutidas, o malware recorre a um endereço C2 alternativo hardcoded no código.
Após estabelecer conexão com o servidor, o malware aguarda comandos para executar ações no sistema infectado, como registrar teclas digitadas, capturar telas ou roubar arquivos.
Entre os comandos identificados estão:
- <|OK|>: coleta informações do sistema
- <|PING|>: monitora atividade do usuário e janela ativa
- <|PedidoSenhas|>: exibe um overlay personalizado para roubo de credenciais, baseado na janela atual
A análise da infraestrutura dos atacantes revelou dois painéis administrativos: um para gerenciar o sistema de redirecionamento e outro provavelmente para monitorar as máquinas infectadas.
O sistema permite acesso apenas a hosts localizados no Brasil e na Argentina; conexões bloqueadas são redirecionadas para a página google.com/error.
Dos 454 acessos registrados, 452 foram bloqueados devido à restrição geográfica.
Os visitantes vieram majoritariamente dos EUA, Holanda, Alemanha, Reino Unido, França e Brasil.
Embora o foco seja o Windows, foram detectadas conexões oriundas de macOS, Linux e Android.
Apesar de ser principalmente uma ameaça voltada ao Brasil, o alcance operacional e a exposição das vítimas indicam um escopo global.
O Trustwave alerta para a necessidade de atenção redobrada a atividades suspeitas no WhatsApp, execuções inesperadas de arquivos MSI ou scripts, e demais indicadores relacionados à campanha.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...