Investigadores en ciberseguridad han compartido información sobre una nueva campaña que combina ingeniería social y el secuestro de WhatsApp Web para propagar un troyano bancario llamado Eternidade Stealer, diseñado en Delphi, dirigido principalmente a usuarios en Brasil.

Este malware, como explicaron los investigadores de Trustwave SpiderLabs, Nathaniel Morales, John Basmayor y Nikita Kazymirskyi, utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) para obtener direcciones de comando y control (C2) de manera dinámica, permitiendo al atacante actualizar su servidor C2 en un análisis técnico de la campaña.

Estos descubrimientos surgen poco después de otra campaña conocida como Water Saci, que atacó a usuarios brasileños con un gusano que se propaga a través de WhatsApp Web, llamado SORVEPOTEL. Este gusano actúa como un canal para el troyano bancario Maverick, que se considera una evolución del malware bancario .NET Coyote.

Eternidade Stealer es parte de una serie de actividades maliciosas que han explotado la amplia utilización de WhatsApp en Brasil, comprometiendo los sistemas de las víctimas y usando la aplicación de mensajería como un medio para llevar a cabo ataques masivos contra organizaciones brasileñas.

Una tendencia preocupante es la persistente preferencia de los ciberdelincuentes por el malware basado en Delphi, no solo por su efectividad técnica, sino también porque este lenguaje es común en el desarrollo de software en la región.

La ofensiva comienza con un script de Visual Basic ofuscado, con comentarios en su mayoría en portugués. Su ejecución genera un archivo BAT que distribuye dos tipos de cargas útiles, dividiendo la cadena de infección:

  • Un script de Python que propaga el malware a través de WhatsApp Web, similar a un gusano.
  • Un instalador MSI que utiliza un script de AutoIt para ejecutar Eternidade Stealer.

El script de Python, al igual que SORVEPOTEL, se comunica con un servidor remoto y utiliza el proyecto de código abierto WPPConnect para automatizar el envío de mensajes a cuentas de WhatsApp comprometidas, recopilando contactos de la víctima y filtrando grupos y listas de difusión.

El malware recoge información de cada contacto, incluyendo el número de teléfono de WhatsApp y el nombre, para enviarla a un servidor de los atacantes mediante una solicitud HTTP POST. Luego, se envía un archivo malicioso a todos los contactos utilizando una plantilla de mensaje que incluye saludos personalizados.

En la siguiente fase del ataque, el instalador MSI despliega diversas cargas útiles, incluyendo un script de AutoIt que verifica si el sistema está en Brasil al comprobar el idioma del sistema operativo. Si no es portugués brasileño, el malware se elimina automáticamente, lo que indica un enfoque localizado de los atacantes.

Más adelante, el script examina los procesos en ejecución y las claves del registro para detectar software de seguridad instalado y utiliza esta información para crear un perfil del sistema, enviándolo a un servidor de comando y control (C2). La ejecución finaliza con la inyección de Eternidade Stealer en «svchost.exe» mediante un método conocido como process hollowing.

Eternidade, un ladrón de credenciales escrito en Delphi, monitorea activamente las ventanas y procesos en busca de cadenas asociadas a portales bancarios y criptomonedas, incluidos Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask y Trust Wallet, entre otros.

Este comportamiento sigue una táctica clásica de los ciberdelincuentes, que permanecen inactivos hasta que la víctima abre una aplicación relevante, asegurando que el ataque se active en contextos específicos y se mantenga oculto en entornos de prueba.

Una vez que se detecta una coincidencia, el malware se conecta a un servidor C2, el cual obtiene de una bandeja de entrada de un correo electrónico terra.com[.]br, replicando una técnica utilizada por Water Saci. Esto permite a los atacantes mantener su servidor C2 actualizado y persistente, evadiendo la detección. Si falla en conectarse a la cuenta de correo, utiliza una dirección C2 alternativa integrada en el código.

Al establecer una conexión con éxito, el malware espera recibir mensajes, los que procesa y ejecuta en los equipos infectados, permitiendo a los atacantes registrar pulsaciones de teclado, capturar pantallas y robar archivos.

Trustwave informó que un análisis de la infraestructura del atacante reveló dos paneles: uno para gestionar el redireccionamiento y otro para el inicio de sesión, posiblemente utilizado para vigilar los dispositivos infectados. El sistema de redireccionamiento contiene registros sobre el total de visitas y bloqueos de conexiones a la dirección del servidor C2.

El acceso al sistema está restringido a dispositivos ubicados en Brasil y Argentina.

Aunque la familia de malware y sus métodos de distribución son predominantemente brasileños, el potencial de daño y la exposición de las víctimas podrían ser mucho más amplios. Los expertos en ciberseguridad deben estar atentos a cualquier actividad sospechosa en WhatsApp, así como a ejecuciones inesperadas de archivos MSI o scripts relacionados con esta campaña.

Fuente:
THN


Con Información de blog.segu-info.com.ar