Brasil alerta usuários de criptomoedas sobre nova campanha de malware do WhatsApp que implanta worm de sequestro

• Worm do WhatsApp e combinação de trojans mira usuários de criptomoedas brasileiras com sequestros de contas discretos.
• Malware utiliza um sistema de comandos baseado no Gmail para evitar desligamentos e atualizar suas operações.
• Os logs do painel de rediretor mostram exposição global, com a maioria das tentativas de conexão vindas de sistemas desktop.

Autoridades brasileiras e analistas de cibersegurança soaram o alarme sobre uma campanha de malware que se espalha rapidamente e que usa mensagens do WhatsApp para atingir usuários de criptomoedas por meio de sequestro automático de contas e um sofisticado trojan bancário.

A operação, identificada por pesquisadores da Trustwave SpiderLabs, conecta um worm propagado pelo WhatsApp a uma ferramenta de ameaça conhecida como Eternidade Stealer, permitindo que atacantes obtenham credenciais bancárias, logins de exchange de criptomoedas e outras informações financeiras sensíveis de dispositivos infectados.

Pesquisadores rastreiam atividades coordenadas por meio de iscas baseadas no WhatsApp

Segundo os pesquisadores da SpiderLabs Nathaniel Morales, John Basmayor e Nikita Kazymirskyi, a campanha se baseia em mensagens de engenharia social que imitam avisos do governo, atualizações de entrega, grupos de investimento fraudulentos ou até contatos de amigos.

Uma vez que a vítima abre o link malicioso, tanto o worm quanto o trojan bancário se instalam simultaneamente. O worm imediatamente apreende a conta do WhatsApp da vítima, extrai a lista de contatos e filtra grupos ou números comerciais para priorizar o segmento um-para-um.

Durante esse processo, o troiano companheiro entrega a carga útil Eternidade Stealer. O malware então escaneia o sistema em busca de credenciais vinculadas a plataformas bancárias brasileiras, contas fintech e serviços relacionados a criptomoedas, incluindo carteiras e exchanges. Pesquisadores argumentam que essa estrutura de duas etapas se tornou cada vez mais comum no ecossistema do cibercrime brasileiro, que utilizou o WhatsApp em campanhas anteriores, como a Water Saci, que abrangem 2024 e 2025.

Malware usa recuperação de comandos baseada no Gmail para evitar remoções

Investigadores relatam que o malware evita desligamentos tradicionais de rede ao usar uma conta pré-definida do Gmail para receber comandos atualizados. Em vez de depender de um servidor fixo de comando e controle (C2), ele faz login no endereço de e-mail codificado fixamente, verifica as instruções mais recentes e só retorna a um domínio C2 estático se o e-mail estiver inacessível. A SpiderLabs referiu esse método como uma forma de manter a persistência enquanto reduz a probabilidade de detecção.

Relacionado: Nova Ameaça de Malware: Ladrão de Cthulhu Mira Mac e Cripto

Dados do Painel de Rediretores Revelam Presença Global

Durante o mapeamento de infraestrutura, analistas vincularam o domínio inicial, *serverseistemasatu[.]com,* para um servidor que hospedava múltiplos painéis de atores de ameaça, incluindo um Sistema de Rediretor usado para rastrear conexões recebidas. Das 453 visitas registradas, 451 foram bloqueadas devido a restrições geográficas, permitindo apenas Brasil e Argentina.

No entanto, dados de registro mostraram 454 tentativas de comunicação em 38 países, incluindo Estados Unidos (196), Holanda (37), Alemanha (32), Reino Unido (23) e França (19). Apenas três interações se originaram no Brasil.

O painel também registrou estatísticas de sistemas operacionais indicando que 40% das conexões vinham de sistemas não identificados, seguidos por Windows (25%), macOS (21%), Linux (10%) e Android (4%). Os investigadores afirmaram que os dados mostram que a maioria das interações ocorreu em ambientes de desktop.

Relacionado: Como as permissões da carteira do navegador foram exploradas no mais recente golpe de oferta de emprego no LinkedIn