Los investigadores de ciberseguridad han revelado detalles de una nueva campaña que aprovecha una combinación de ingeniería social y secuestro de WhatsApp para distribuir un troyano bancario basado en Delphi llamado Eternity Stealer como parte de los ataques dirigidos a usuarios en Brasil.
«Utiliza el protocolo de acceso a mensajes de Internet (IMAP) para recuperar de forma dinámica las direcciones de comando y control (C2), lo que permite al autor de la amenaza actualizar su servidor C2», dijeron los investigadores de Trustwave SpiderLabs, Nathaniel Morales, John Basmayor y Nikita Kazymirskyi, en un análisis técnico de la campaña publicado en The Hacker News.
«Se distribuye a través de una campaña contra gusanos en WhatsApp, y el actor ahora implementa un script en Python, lo que supone un cambio con respecto a los scripts anteriores basados en PowerShell para secuestrar WhatsApp y difundir archivos adjuntos maliciosos.
Los hallazgos se producen poco después de otra campaña denominada Saci de agua que tiene como objetivo a los usuarios brasileños con un gusano que se propaga a través de WhatsApp Web conocido como SORVEPOTEL, que luego actúa como conducto para Disidente , un troyano bancario de.NET que se considera una evolución de un malware bancario de.NET denominado Coyote .
El clúster Eternidade Stealer forma parte de una actividad más amplia que ha abusado de la ubicuidad de WhatsApp en el país sudamericano para comprometer los sistemas de las víctimas objetivo y utilizar la aplicación de mensajería como vector de propagación para lanzar ataques a gran escala contra las instituciones brasileñas.
Otra tendencia destacable es la continuo preferencia por Malware basado en Delphi para los actores de amenazas que atacan a América Latina, impulsada en gran medida no solo por su eficiencia técnica, sino también por el hecho de que el lenguaje de programación se enseñó y usó en el desarrollo de software en la región.
El punto de partida del ataque es un script de Visual Basic ofuscado, que incluye comentarios escritos principalmente en portugués. El script, una vez ejecutado, elimina un script por lotes que se encarga de entregar dos cargas útiles, dividiendo así la cadena de infección en dos:
- Un script de Python que desencadena la difusión del malware en la web de WhatsApp de forma similar a un gusano
- Un instalador de MSI que utiliza un script de AutoIt para iniciar Eternidade Stealer
El script Python, similar a SORVEPOTEL, establece la comunicación con un servidor remoto y aprovecha el proyecto de código abierto Conexión WPP para automatizar el envío de mensajes en cuentas secuestradas a través de WhatsApp. Para ello, recopila toda la lista de contactos de la víctima y filtra los grupos, los contactos comerciales y las listas de transmisión.
Luego, el malware procede a capturar, para cada contacto, su número de teléfono, nombre e información de WhatsApp que indica si es un contacto guardado. Esta información se envía al servidor controlado por el atacante a través de una solicitud HTTP POST. En la fase final, se envía un adjunto malintencionado a todos los contactos en forma de adjunto malintencionado. Para ello, se utiliza una plantilla de mensajería y se rellenan ciertos campos con saludos y nombres de contacto basados en la hora.
La segunda etapa del ataque comienza cuando el instalador de MSI deja caer varias cargas útiles, incluido un script de AutoIt que comprueba si el sistema comprometido tiene su sede en Brasil inspeccionando si el idioma del sistema operativo es el portugués brasileño. De lo contrario, el malware se extingue automáticamente. Esto indica un esfuerzo de focalización hiperlocalizado por parte de los actores de la amenaza.
Posteriormente, el script escanea los procesos en ejecución y las claves de registro para determinar la presencia de productos de seguridad instalados. También perfila la máquina y envía los detalles a un servidor de comando y control (C2). El ataque culmina cuando el malware inyecta la carga útil de Eternidade Stealer en "svchost.exe" mediante el proceso de vaciado.
Eternidade, un ladrón de credenciales con sede en Delphi, escanea continuamente las ventanas activas y los procesos en ejecución en busca de cadenas relacionadas con portales bancarios, servicios de pago e bolsas y carteras de criptomonedas, como Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask y Trust Wallet, entre otros.
«Este comportamiento refleja una táctica clásica de banqueros o ladrones encubiertos, en la que los componentes maliciosos permanecen inactivos hasta que la víctima abre una aplicación bancaria o monedero específica, lo que garantiza que el ataque se desencadene solo en los contextos pertinentes y permanezca invisible para los usuarios ocasionales o en entornos aislados», afirman los investigadores.
Una vez que encuentra una coincidencia, contacta con un servidor C2, cuyos detalles se obtienen de una bandeja de entrada vinculada a una dirección de correo electrónico de terra.com [.] br, lo que refleja una táctica adoptada recientemente por Water Saci. Esto permite a los atacantes actualizar su C2, mantener la persistencia y evadir las detecciones o las eliminaciones. En caso de que el malware no pueda conectarse a la cuenta de correo electrónico mediante credenciales codificadas de forma rígida, utiliza una dirección C2 alternativa integrada en el código fuente.
Tan pronto como se establece una conexión exitosa con el servidor, el malware espera los mensajes entrantes que luego se procesan y ejecutan en los hosts infectados, lo que permite a los atacantes grabar las pulsaciones de teclas, capturar capturas de pantalla y robar archivos. Algunos de los comandos más destacados se enumeran a continuación:
- <|OK|>, para recopilar información del sistema
- <|PING|>, para supervisar la actividad del usuario e informar sobre la ventana actualmente activa
- <|PedidosenHas|>, para enviar una superposición personalizada en caso de robo de credenciales basada en la ventana activa
Trustwave dijo que un análisis de la infraestructura de los actores de amenazas llevó al descubrimiento de dos paneles, uno para administrar el sistema de redireccionamiento y otro panel de inicio de sesión, probablemente utilizado para monitorear los servidores infectados. El sistema de redireccionamiento contiene registros que muestran el número total de visitas y bloquea las conexiones que intentan llegar a la dirección C2.
Si bien el sistema solo permite el acceso a máquinas ubicadas en Brasil y Argentina, las conexiones bloqueadas se redirigen a «google [.] com/error». Las estadísticas registradas en el panel muestran que 452 de las 454 visitas se bloquearon debido a las restricciones geográficas. Se dice que solo las dos visitas restantes se redirigieron al dominio objetivo de la campaña.
De los 454 registros de comunicación, 196 conexiones se originaron en EE. UU., seguidos de los Países Bajos (37), Alemania (32), el Reino Unido (23), Francia (19) y Brasil (3). El sistema operativo Windows registró 115 conexiones, aunque los datos del panel indican que las conexiones también procedían de macOS (94), Linux (45) y Android (18).
«Si bien la familia de malware y los vectores de distribución son principalmente brasileños, la posible huella operativa y la exposición de las víctimas son mucho más globales», afirma Trustwave. «Los defensores de la ciberseguridad deben permanecer atentos a las actividades sospechosas de WhatsApp, a las ejecuciones inesperadas de scripts o MSI y a los indicadores relacionados con esta campaña en curso».