⚠️ Експерти Trustwave SpiderLabs виявили нову шахрайську схему, яка атакує користувачів через WhatsApp. Троян отримав назву Eternidade Stealer (що з португальської перекладається як «Вічність») і поширюється за допомогою соціальної інженерії: зловмисники маскують повідомлення під «друзів», знайомих або фейкові інвестиційні чати. Достатньо одного кліку, щоб шкідник отримав доступ до всього додатку, контактів та пристрою загалом.
Головна особливість трояна — він спеціально створений під криптовалюти. Після встановлення троян сканує додатки та гаманці, включаючи Binance, OKX, Coinbase, MetaMask, Trust Wallet, Ledger Live, Phantom та інші. Як тільки користувач відкриває будь-який криптододаток — активується модуль крадіжки даних, і вся інформація про транзакції, приватні ключі та облікові дані передається зловмисникам.
Найбільша активність зафіксована у Бразилії, де WhatsApp є основним каналом комунікацій і одним із найпопулярніших інструментів у кіберзлочинній екосистемі країни. Протягом останніх двох років зловмисники значно вдосконалили свої методи, перетворивши прості фішингові посилання на складні схеми соціальної інженерії. Вони використовують підроблені повідомлення про доставку, фіктивні державні програми та фальшиві інвестиційні групи, що розсилаються через повідомлення та групи WhatsApp.
Повідомлення, отримане через WhatsApp під час підготовки цього звіту.
Технічні деталі
Eternidade написаний на мові Delphi, що забезпечує високу ефективність та легку інтеграцію з Windows. Троян використовує протокол IMAP для динамічного отримання адрес командного сервера (C2), що дозволяє зловмисникам оновлювати управління трояном у реальному часі. Раніше для подібних атак використовувалися скрипти PowerShell, але тепер застосовуються Python-скрипти, що робить атаку більш гнучкою і складною для виявлення.
Delphi довгий час був основою розробки програм у Латинській Америці, завдяки чому багато розробників легко переходили в підпільне середовище. Вільний доступ до вихідних кодів, зламані IDE та португаломовні навчальні матеріали зробили Delphi зручним інструментом для створення банківських троянів. Ранні успішні проєкти створили замкнене коло: нові трояни будувалися на досвіді попередніх, що підтримує високий рівень використання Delphi серед бразильських кіберзлочинців і сьогодні.
Цепочка атаки шкідливої програми Eternidade Stealer.
Чому це важливо
Загроза далеко не теоретична. Вона реально діє зараз і може зачепити будь-якого користувача WhatsApp у світі. Під час дослідження трояна вже були зафіксовані реальні випадки отримання шкідливих VBScript-файлів, що підтверджує активність кампанії.
Чому це важливо
Загроза далеко не теоретична. Вона реально діє зараз і може зачепити будь-якого користувача WhatsApp у світі. Під час дослідження трояна вже були зафіксовані реальні випадки отримання шкідливих VBScript-файлів, що підтверджує активність кампанії.
Що робити:
- Не відкривати посилання та вкладення від невідомих або підозрілих контактів.
- Перевіряти офіційні джерела будь-яких інвестиційних груп або новин.
- Використовувати антивірусне ПЗ та регулярно оновлювати системи.
- Зберігати криптовалюту на «холодних» гаманцях, не підключених до інтернету, якщо це можливо.
- Активувати двофакторну аутентифікацію та резервне копіювання ключів.
💡 Висновок: WhatsApp знову показав себе як канал, який зловмисники використовують для масового поширення троянів. Тепер загрози спрямовані безпосередньо на криптосистеми, і це вже не просто потенційний ризик — це реальна, активна атака, що вимагає від користувачів максимальної обережності.
Тут, до речі, можна придбати легендарні апаратні гаманці для новачків з усіма базовими функціями!
ВІДМОВА ВІД ВІД ВІДПОВІДАЛЬНОСТІ: Усі матеріали, представлені на цьому сайті (https://wildinwest.com/), включно з вкладеннями, посиланнями або матеріалами, на які посилається компанія, призначено винятково для інформаційних і розважальних цілей, і їх не слід розглядати як фінансову консультацію. Матеріали третіх осіб залишаються власністю їхніх відповідних власників.