Investigadores de ciberseguridad han revelado detalles de una nueva campaña
que utiliza una combinación de ingeniería social y el secuestro de WhatsApp Web para distribuir un troyano bancario basado en Delphi, llamado Eternidade
Stealer, como parte de ataques dirigidos a usuarios en Brasil.
El gusano
«Utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) para obtener
dinámicamente direcciones de comando y control (C2), lo que permite al
atacante actualizar su servidor C2»,
explicaron los investigadores de Trustwave SpiderLabs, Nathaniel Morales, John Basmayor y Nikita Kazymirskyi, en un análisis
técnico de la campaña.
Estos hallazgos se producen poco después de otra campaña, denominada
Water Saci, que atacó a usuarios brasileños con un gusano que se propaga a través de
WhatsApp Web, conocido como SORVEPOTEL. Este gusano sirve de conducto para
Maverick, un troyano bancario .NET que se considera una evolución del
malware bancario .NET Coyote.
El grupo Eternidade Stealer forma parte de una actividad más amplia que ha
aprovechado la omnipresencia de WhatsApp en Brasil para comprometer los
sistemas de las víctimas y usar la aplicación de mensajería como vector de
propagación para lanzar ataques a gran escala contra instituciones brasileñas.
Otra tendencia notable es la continua preferencia por el malware basado en
Delphi por parte de los ciberdelincuentes que atacan Latinoamérica, impulsada
principalmente no solo por su eficiencia técnica, sino también porque este
lenguaje de programación se enseñaba y utilizaba en el desarrollo de software
en la región.
El punto de partida del ataque es un script de Visual Basic ofuscado, con
comentarios escritos principalmente en portugués. Al ejecutarse, este script
genera un BAT que distribuye dos cargas útiles, dividiendo así la cadena de
infección en dos:
-
Un script de Python que propaga el malware a través de WhatsApp Web, de
forma similar a un gusano. -
Un instalador MSI que utiliza un script de AutoIt para ejecutar Eternidade
Stealer.
El script de Python, similar a SORVEPOTEL, se comunica con un servidor remoto
y utiliza el proyecto de código abierto
WPPConnect
para automatizar el envío de mensajes a cuentas de WhatsApp comprometidas.
Para ello, recopila la lista completa de contactos de la víctima, filtrando
grupos, contactos profesionales y listas de difusión.
El malware captura, para cada contacto, su número de teléfono de WhatsApp,
nombre e información que indica si está guardado. Esta información se envía al
servidor del atacante mediante una solicitud HTTP POST. Finalmente, se envía
un archivo adjunto malicioso a todos los contactos, utilizando una plantilla
de mensajería y rellena determinados campos con saludos basados en la hora y
nombres de contacto.
La segunda fase del ataque comienza con el instalador MSI desplegando varias
cargas útiles, incluyendo un script de AutoIt que verifica si el sistema
comprometido se encuentra en Brasil, comprobando si el idioma del sistema
operativo es portugués brasileño. De no ser así, el malware se autoelimina.
Esto indica un ataque hiperlocalizado por parte de los atacantes.
Posteriormente, el script analiza los procesos en ejecución y las claves del
registro para determinar la presencia de productos de seguridad instalados.
También crea un perfil del equipo y envía los detalles a un servidor de
comando y control (C2). El ataque culmina con la inyección de la carga útil
Eternidade Stealer en «svchost.exe» mediante la técnica de process
hollowing.
Eternidade, un ladrón de credenciales basado en Delphi, analiza continuamente
las ventanas activas y los procesos en ejecución en busca de cadenas de
caracteres relacionadas con portales bancarios, servicios de pago y
plataformas de intercambio y monederos de criptomonedas, como Bradesco, BTG
Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask y Trust Wallet,
entre otros.
Según los investigadores, este comportamiento refleja una táctica clásica de
los ciberdelincuentes que se hacen pasar por banqueros o ladrones de
aplicaciones, donde los componentes maliciosos permanecen inactivos hasta que
la víctima abre una aplicación bancaria o de monedero específica. Esto
garantiza que el ataque se active solo en contextos relevantes y permanezca
invisible para usuarios ocasionales o entornos de pruebas.
Una vez que encuentra una coincidencia, se conecta a un servidor de comando y
control (C2), cuyos detalles obtiene de una bandeja de entrada vinculada a una
dirección de correo electrónico terra.com[.]br, imitando una táctica
adoptada recientemente por Water Saci. Esto permite a los atacantes actualizar
su servidor C2, mantener la persistencia y evadir la detección o el bloqueo.
Si el malware no puede conectarse a la cuenta de correo electrónico con las
credenciales predefinidas, utiliza una dirección C2 de respaldo integrada en
el código fuente.
Tan pronto como se establece una conexión exitosa con el servidor, el malware
espera mensajes entrantes que luego procesa y ejecuta en los equipos
infectados. Esto permite a los atacantes registrar las pulsaciones de teclado,
capturar pantallas y robar archivos.
Trustwave afirmó que un análisis de la infraestructura del atacante reveló dos
paneles: uno para gestionar el sistema de redireccionamiento y otro de inicio
de sesión, probablemente utilizado para monitorizar los equipos infectados. El
Sistema de Redireccionamiento contiene registros que muestran el número total
de visitas y bloqueos de conexiones que intentan acceder a la dirección del
servidor de comando y control (C2).
El sistema solo permite el acceso a equipos ubicados en Brasil y Argentina.
Si bien la familia de malware y los vectores de distribución son
principalmente brasileños, el posible alcance operativo y la exposición de las
víctimas son mucho más globales. Los profesionales de la ciberseguridad deben
mantenerse alerta ante cualquier actividad sospechosa en WhatsApp, ejecuciones
inesperadas de MSI o scripts, e indicadores relacionados con esta campaña en
curso.
Fuente:
THN