Через WhatsApp поширюють новий банківський троян Eternidade Stealer

Кіберзлочинці запустили нову кампанію з поширення банківського трояна Eternidade Stealer, який викрадає дані та використовує WhatsApp для зараження нових жертв. Спеціалісти Trustwave SpiderLabs виявили, що схема атаки включає Python-скрипти, AutoIt та компоненти на Delphi – це свідчить про ускладнення тактик хакерів.

Головна особливість – використання Python замість PowerShell. Скрипт перехоплює доступ до WhatsApp Web і розсилає шкідливі файли від імені користувача, як це раніше було в кампанії Water Saci. Зараження починається з VBS-скрипту, який запускає BAT-файл. Далі атака розділяється на два напрями: Python-хробак розсилає шкідливі вкладення контактам жертви, а MSI-інсталятор через AutoIt доставляє основний троян.

Eternidade Stealer стежить за фінансовими застосунками, банками Bradesco, BTG Pactual, сервісом MercadoPago, біржами Binance і Coinbase, а також криптогаманцями MetaMask та Trust Wallet. Для зв’язку він використовує дані, отримані через поштову скриньку, або резервний сервер.

Основні атаки фіксуються у Бразилії та Аргентині, хоча підозріла активність помітна й у США, Німеччині та Нідерландах. Експерти радять не відкривати підозрілі повідомлення в WhatsApp і не запускати випадкові MSI-файли, оскільки кампанія швидко розвивається і вдосконалює методи обходу захисту.