Pesquisadores da Trustwave SpiderLabs descobriram um novo esquema de malware focado em usuários brasileiros. Essa operação combina um worm que se espalha pelo WhatsApp com um trojan bancário chamado Eternidade Stealer. Juntos, eles conseguem formar uma cadeia de infecção que coleta informações de bancos, exchanges e carteiras de criptomoedas. Em tempos onde a segurança digital é cada vez mais importante, esse alerta merece atenção.
O ataque começa com o envio automático de mensagens pelo WhatsApp do próprio usuário que já foi comprometido. O worm, programado em Python, faz o compartilhamento de arquivos ou links diretamente para contatos, evitando listas de transmissão e grupos. Essa estratégia reduz as chances de detecção, facilitando a propagação da infecção.
Funcionamento do ataque
Ao atingir um dispositivo, o código malicioso instala um arquivo em formato MSI, que dá acesso ao trojan Eternidade Stealer, desenvolvido em Delphi. Esse malware fica de olho nos aplicativos bancários e em carteiras digitais instaladas. Ele captura dados sensíveis como senhas, chaves privadas e frases-semente que são usadas em carteiras de criptomoedas.
Dessa forma, os cibermalfeitores podem acessar e movimentar seus ativos financeiros, incluindo fundos em plataformas conhecidas como Binance, Coinbase, Trust Wallet e MetaMask. A pesquisa da Trustwave revelou que a campanha faz uso de verificações linguísticas e geolocalização para focar em alvos brasileiros, pausando a execução do malware se o sistema não estiver configurado para o português do Brasil.
Além disso, o malware se limita a ações no Brasil e na América do Sul. Apesar disso, os pesquisadores notaram tentativas de comunicação vindas de outros países, o que pode indicar uma preocupação com ações paralelas ou investigações internacionais.
Impactos e riscos para os usuários
A infecção traz uma série de problemas, como a exposição de credenciais bancárias e criptos, movimentações financeiras indesejadas, captura de chaves privadas e clonagem da agenda de contatos. Um dos maiores desafios é que o ataque é difícil de identificar; o worm utiliza a conta do WhatsApp para enviar mensagens, enquanto o trojan fica inativo até que um aplicativo financeiro seja aberto.
Por isso, adotar boas práticas de segurança digital é imprescindível. Evite clicar em arquivos MSI, scripts ou links enviados pelo WhatsApp sem dar uma conferida antes. Manter seu sistema operacional, antivírus e aplicativos sempre atualizados é uma ótima maneira de reduzir vulnerabilidades.
Para quem utiliza criptomoedas, é fundamental que a autenticação em dois fatores esteja sempre ativa e uma revisão constante da lista de dispositivos conectados seja feita. Se notar qualquer comportamento suspeito, como mensagens automáticas ou aplicativos estranhos, desconecte o dispositivo da internet e troque suas senhas sem demora.
Alerta para o setor financeiro digital
Essa campanha é um sinal de que os ataques que exploram aplicativos de mensagens para atingir usuários de serviços financeiros estão aumentando. A maioria das infecções ocorre em dispositivos pessoais; por isso, é crucial que empresas do setor de cripto e fintechs aprimorem suas políticas de verificação e monitoramento. O risco também se estende ao ambiente corporativo, fazendo com que a segurança digital seja uma prioridade indiscutível.
