Brazil Peringatkan Pengguna Crypto tentang Kampanye Malware WhatsApp Baru yang Menggunakan Worm Pencurian

Sumber: CoinEdition Judul Asli: Brazil Mengingatkan Pengguna Kripto tentang Kampanye Malware WhatsApp Baru yang Menyebar Menggunakan Worm Pembajak Tautan Asli: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Otoritas Brasil dan analis keamanan siber telah meningkatkan alarm mengenai kampanye malware yang menyebar cepat ini yang menggunakan pesan WhatsApp untuk menargetkan pengguna kripto melalui perampokan akun otomatis dan trojan perbankan yang canggih.

Operasi ini, yang diidentifikasi oleh peneliti di Trustwave SpiderLabs, menghubungkan worm yang menyebar melalui WhatsApp dengan alat ancaman yang dikenal sebagai Eternidade Stealer, memungkinkan penyerang memperoleh kredensial perbankan, login pertukaran crypto, dan informasi keuangan sensitif lainnya dari perangkat yang terinfeksi.

Peneliti Melacak Aktivitas Terkoordinasi Melalui Umpan Pancing Berbasis WhatsApp

Menurut peneliti SpiderLabs Nathaniel Morales, John Basmayor, dan Nikita Kazymirskyi, kampanye ini bergantung pada pesan rekayasa sosial yang meniru pemberitahuan pemerintah, pembaruan pengiriman, grup investasi penipuan, atau bahkan kontak dari teman.

Setelah korban membuka tautan berbahaya tersebut, baik worm maupun trojan perbankan menginstal secara bersamaan. Worm segera merebut akun WhatsApp korban, mengekstrak daftar kontak, dan menyaring grup atau nomor bisnis untuk memprioritaskan penargetan satu-ke-satu.

Selama proses ini, trojan pendamping mengirimkan payload Eternidade Stealer. Malware kemudian memindai sistem untuk kredensial yang terkait dengan platform perbankan Brasil, akun fintech, dan layanan terkait crypto, termasuk dompet dan pertukaran. Peneliti berpendapat bahwa struktur dua tahap ini menjadi semakin umum di ekosistem kejahatan siber Brasil, yang telah menggunakan WhatsApp untuk kampanye sebelumnya, seperti Water Saci, yang berlangsung pada 2024 dan 2025.

Malware Menggunakan Pengambilan Perintah Berbasis Gmail untuk Menghindari Pemblokiran

Penyelidik melaporkan bahwa malware ini menghindari pemadaman jaringan tradisional dengan menggunakan akun Gmail yang sudah dipersiapkan untuk menerima perintah terbaru. Alih-alih bergantung pada server (C2) yang tetap, malware ini masuk ke alamat email yang dikodekan secara keras, memeriksa instruksi terbaru, dan hanya beralih ke domain C2 statis jika email tidak dapat diakses. SpiderLabs menyebut metode ini sebagai cara untuk mempertahankan keberlangsungan sambil mengurangi kemungkinan terdeteksi.

Data Panel Pengalih Mengungkap Jejak Global

Selama pemetaan infrastruktur, analis menghubungkan domain awal ke server yang menyimpan beberapa panel aktor ancaman, termasuk Sistem Redirector yang digunakan untuk melacak koneksi masuk. Dari 453 kunjungan yang dicatat, 451 diblokir karena pembatasan geografis, hanya memperbolehkan Brasil dan Argentina.

Namun, data log menunjukkan 454 upaya komunikasi dari 38 negara, termasuk Amerika Serikat (196), Belanda (37), Jerman (32), Inggris (23), dan Prancis (19). Hanya tiga interaksi berasal dari Brasil.

Panel ini juga mencatat statistik OS yang menunjukkan 40% koneksi berasal dari sistem yang tidak teridentifikasi, diikuti oleh Windows (25%), macOS (21%), Linux (10%), dan Android (4%). Penyelidik menyatakan bahwa data ini menunjukkan sebagian besar interaksi terjadi dari lingkungan desktop.