Опасный криптотроян в WhatsApp

⚠️ Эксперты Trustwave SpiderLabs выявили новую мошенническую схему, которая атакует пользователей через WhatsApp. Троян получил название Eternidade Stealer (что с португальского переводится как «Вечность»), и он распространяется посредством социальной инженерии: злоумышленники маскируют сообщения под «друзей», знакомых или фейковые инвестиционные чаты. Достаточно одного клика, чтобы вредонос получил доступ ко всему приложению, контактам и устройству в целом.

Главная особенность трояна — он заточен именно под криптовалюты. После установки троян сканирует приложения и кошельки, включая Binance, OKX, Coinbase, MetaMask, Trust Wallet, Ledger Live, Phantom и другие. Как только пользователь открывает одно из криптоприложений — активируется модуль кражи данных, и вся информация о транзакциях, приватных ключах и учетных данных уходит к злоумышленникам.

Наибольшая активность зафиксирована в Бразилии, где WhatsApp является главным каналом распространения коммуникаций и одним из самых популярных инструментов в киберпреступной экосистеме страны. За последние два года злоумышленники существенно улучшили свои методы, превратив простые фишинговые ссылки в сложные схемы социальной инженерии. Они используют поддельные уведомления о доставке, фиктивные государственные программы и фальшивые инвестиционные группы, рассылаемые через сообщения и группы WhatsApp.

Сообщение, полученное через WhatsApp во время подготовки настоящего отчета.

Технические детали
Eternidade написан на языке Delphi, что обеспечивает высокую эффективность и удобство интеграции с Windows. Троян использует протокол IMAP для динамического получения адресов командного сервера (C2), что позволяет злоумышленникам обновлять управление трояном в реальном времени. Ранее для подобных атак использовались скрипты PowerShell, но теперь применяются Python-скрипты, что делает атаку более гибкой и сложной для обнаружения.

Delphi долгое время был основой для разработки программ в Латинской Америке, благодаря чему многие разработчики легко переходили в подпольную среду. Свободный доступ к исходным кодам, крэки IDE и португалоязычные учебники сделали Delphi удобным инструментом для создания банковских троянов. Ранние успешные проекты создали замкнутый цикл: новые трояны строились на опыте предыдущих, что поддерживает высокий уровень использования Delphi среди бразильских киберпреступников и сегодня.

Цепочка атаки вредоносной программы Eternidade Stealer

Почему это важно
Угроза далеко не теоретическая. Она реально действует сейчас и может затронуть любого пользователя WhatsApp в мире. Пока исследователи изучали троян, уже были зафиксированы реальные случаи получения вредоносных VBScript-файлов пользователями, что подтверждает активность кампании.

Для криптовалютного рынка это особенно опасно: атака на кошельки и биржи через троян потенциально может привести к крупным финансовым потерям, утечке приватных ключей и компрометации данных о транзакциях. Это сигнал всем пользователям: ни одно устройство не застраховано, и внимание к безопасности криптоактивов должно быть максимально высоким.

Что делать

• Не открывать ссылки и вложения от неизвестных или подозрительных контактов.
• Проверять официальные источники любых инвестиционных групп или новостей.
• Использовать антивирусное ПО и регулярно обновлять системы.
• Хранить криптовалюту на «холодных» кошельках, не подключенных к интернету, если это возможно.
• Активировать двухфакторную аутентификацию и резервные копии ключей.

💡 Итог: WhatsApp снова показал себя как канал, который злоумышленники используют для массового распространения троянов. Теперь угрозы направлены напрямую на криптосистемы, и это уже не просто потенциальный риск — это реальная, активная атака, требующая от пользователей предельной осторожности.

Здесь, кстати, можно купить легендарные аппаратные кошельки для новичков со всеми базовыми функциями!