- Combo worm dan trojan WhatsApp menargetkan pengguna kripto Brasil dengan pembajakan akun tersembunyi.
- Malware menggunakan sistem perintah berbasis Gmail untuk menghindari shutdown dan memperbarui operasinya.
- Log panel pengarahan ulang menunjukkan eksposur global, dengan sebagian besar upaya koneksi dari sistem desktop.
Pihak berwenang Brasil dan analis keamanan siber telah membunyikan alarm atas kampanye malware yang menyebar cepat yang menggunakan pesan WhatsApp untuk menargetkan pengguna kripto melalui pembajakan akun otomatis dan trojan perbankan yang canggih.
Operasi yang diidentifikasi oleh para peneliti di Trustwave SpiderLabs, menghubungkan worm yang disebarkan WhatsApp ke alat ancaman yang dikenal sebagai Eternidade Stealer, memungkinkan penyerang untuk mendapatkan kredensial perbankan, login pertukaran kripto, dan informasi keuangan sensitif lainnya dari perangkat yang terinfeksi.
Peneliti Melacak Aktivitas Terkoordinasi Melalui Umpan Berbasis WhatsApp
Menurut peneliti SpiderLabs Nathaniel Morales, John Basmayor, dan Nikita Kazymirskyi, kampanye ini mengandalkan pesan rekayasa sosial yang meniru pemberitahuan pemerintah, pembaruan pengiriman, kelompok investasi curang, atau bahkan kontak dari teman.
Setelah korban membuka tautan berbahaya, worm dan trojan perbankan menginstal secara bersamaan. Worm segera menyita akun WhatsApp korban, mengekstrak daftar kontak, dan menyaring grup atau nomor bisnis untuk memprioritaskan penargetan satu-ke-satu.
Selama proses ini, trojan pendamping mengirimkan muatan Eternidade Stealer. Malware kemudian memindai sistem untuk mendapatkan kredensial yang terkait dengan platform perbankan Brasil, akun fintech, dan layanan terkait kripto, termasuk dompet dan bursa. Para peneliti berpendapat bahwa struktur tahap ganda ini telah menjadi semakin umum di ekosistem kejahatan dunia maya Brasil, yang telah memanfaatkan WhatsApp untuk kampanye sebelumnya, seperti Water Saci, yang mencakup tahun 2024 dan 2025.
Malware Menggunakan Pengambilan Perintah Berbasis Gmail untuk Menghindari Penghapusan
Penyelidik melaporkan bahwa malware menghindari penutupan jaringan tradisional dengan menggunakan akun Gmail yang telah ditetapkan sebelumnya untuk menerima perintah yang diperbarui. Alih-alih bergantung pada server command-and-control (C2) tetap, server ini masuk ke alamat email yang dikodekan keras, memeriksa instruksi terbaru, dan hanya kembali ke domain C2 statis jika email tidak dapat dijangkau. SpiderLabs menyebut metode ini sebagai cara untuk mempertahankan ketekunan sekaligus mengurangi kemungkinan deteksi.
Terkait: Ancaman Malware Baru: Pencuri Cthulhu Menargetkan Mac dan Crypto
Data Panel Redirector Mengungkapkan Jejak Global
Selama pemetaan infrastruktur, analis menautkan domain awal, *serverseistemasatu[.]com,* ke server yang menghosting beberapa panel pelaku ancaman, termasuk Sistem Pengarahan Ulang yang digunakan untuk melacak koneksi masuk. Dari 453 kunjungan yang dicatat, 451 diblokir karena pembatasan geografis, hanya mengizinkan Brasil dan Argentina.
Namun, data log menunjukkan 454 upaya komunikasi di 38 negara, termasuk Amerika Serikat (196), Belanda (37), Jerman (32), Inggris (23), dan Prancis (19). Hanya tiga interaksi yang berasal dari Brasil.
Panel juga mencatat statistik OS yang menunjukkan 40% koneksi berasal dari sistem yang tidak dikenal, diikuti oleh Windows (25%), macOS (21%), Linux (10%), dan Android (4%). Penyelidik menyatakan bahwa data menunjukkan sebagian besar interaksi terjadi dari lingkungan desktop.
Terkait: Bagaimana Izin Dompet Browser Dieksploitasi dalam Penipuan Penawaran Pekerjaan LinkedIn Terbaru
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
