Опасный вредоносКомпания Trustwave SpiderLabs предупредила, что хакеры используют социальную инженерию и взлом аккаунтов *WhatsApp для распространения банковского трояна Eternidade Stealer, который действует через цепочку заражения, включающую Python, AutoIt и Delphi.
© Ferra.ru
Троян использует IMAP для динамического получения адресов управляющих серверов, что позволяет быстро менять инфраструктуру. Заражение начинается с обфусцированного (запутанного) VBS-скрипта, который вызывает BAT-файл и запускает два направления: Python-скрипт для распространения вредоноса через сайт WhatsApp Web и MSI-установщик для Windows с AutoIt и основным трояном.
Эксперт говорят, что Eternidade Stealer отслеживает онлайн-банкинг, платёжные системы и криптокошельки, нацеливаясь на популярные сервисы. Для связи с операторами используется почтовый ящик на terra.com.br. Операторы используют две панели управления и географические ограничения, блокируя подключения из других стран.
Несмотря на региональную направленность, вредоносная активность фиксируется по всему миру. Рекомендуется следить за подозрительной активностью в WhatsApp и неожиданными файлами.
* принадлежит компании Meta, которая признана экстремистской, её деятельность запрещена на территории России.