Brezilya'daki Kripto Para Kullanıcılarını Hedefleyen WhatsApp Tabanlı Zararlı Yazılım Kampanyası

Trustwave'in siber güvenlik araştırma ekibi SpiderLabs, Brezilya'da Eternidade Stealer adlı zararlı yazılımı içeren büyük bir kampanyayı ortaya çıkardı. Bu zararlı yazılım, bankacılık portalları, fintech uygulamaları ve kripto borsaları ile ilgili hassas bilgileri gizlice toplayabiliyor.

Tehdit aktörlerinin, WhatsApp mesajları ve grupları aracılığıyla paylaşılan "sahte hükümet programları, teslimat bildirimleri ve hatta sahte yatırım grupları" gibi karmaşık sosyal mühendislik taktikleri kullandığı tespit edildi. Saldırganlar, kötü amaçlı yükü yaymak için iki aşamalı bir süreç kullanıyor. Bu süreç, WhatsApp üzerinden yayılan bir solucan (worm) ve Delphi tabanlı bir bankacılık truva atını içeriyor.

Kurban, solucan bağlantısını tıkladığında, WhatsApp oturumunu ele geçiren, MSI yükleyicisini arka planda indiren ve finansal uygulamaları ve kripto cüzdanlarını tarayan bir stealer'ı (bilgi hırsızı) başlatan otomatik bir dizi tetikleniyor. Spiderlabs araştırmacıları, "Örneğin, Bradesco, BTG Pactual, Binance, Coinbase, MetaMask, Trust Wallet veya başka bir finansal markayla bağlantılı bir pencere başlığı veya işlem adı eşleşmesi algıladığında, zararlı yazılım derhal bir sonraki aşama yükünü çözer ve etkinleştirir" şeklinde açıkladı.

Kampanyanın sinsi doğasının yanı sıra bir başka endişe verici özelliği de, solucanın kurbanın iletişim listesine erişebilmesi ve bu sayede diğer potansiyel kurbanları hedef alabilmesi. Ayrıca, operatör tarafından kontrol edilen bir Gmail gelen kutusundan alınan "sabit kodlu kimlik bilgilerini e-posta hesabına giriş yapmak için" kullanarak tespit edilmeyi önlüyor. IMAP'ı SSL üzerinden komutları almak için kullanarak, zararlı yazılımın ağ filtrelerini atlatması ve izlenmesi zor kalması sağlanıyor.

SpiderLabs araştırmacıları, özellikle sosyal mühendislik tabanlı zararlı yazılım kampanyaları için favori bir araç haline gelen WhatsApp'ta dikkatli olunması konusunda Brezilyalı kripto kullanıcılarını uyardı. Araştırmacılar, "WhatsApp, Brezilya'nın siber suç ekosisteminde en çok istismar edilen iletişim kanallarından biri olmaya devam ediyor. Son iki yılda, tehdit aktörleri taktiklerini geliştirerek, platformun büyük popülaritesini banker truva atları ve bilgi çalan zararlı yazılımları dağıtmak için kullandılar" şeklinde uyardı.

Brezilya'daki kripto para benimsenmesi son yıllarda hızla arttı. Ülkenin, ulusal bir Bitcoin rezervi oluşturma ve uygun bir düzenleyici çerçeve uygulama planları gibi son gelişmelerle, küresel yatırımcıların ve yerel kullanıcıların ilgisini çektiği belirtiliyor. Chainalysis Küresel Kripto Benimseme Endeksi'nde Brezilya beşinci sırada yer alırken, hacim olarak Latin Amerika'nın en büyük kripto pazarı konumunda.

Sonuç olarak, Brezilya, tecrübesiz kullanıcıları sömürmek veya zayıf korunan sistemlerden yararlanmak isteyen dolandırıcılar ve diğer kötü niyetli aktörler için önemli bir hedef olmaya devam ediyor.