Pesquisadores da Trustwave SpiderLabs identificaram uma nova campanha de malware direcionada a usuários brasileiros. A operação combina um worm distribuído por meio do WhatsApp com o trojan bancário Eternidade Stealer, criando uma cadeia de infecção capaz de coletar credenciais de bancos, exchanges e carteiras de criptomoedas.
A investigação aponta que o ataque começa pela disseminação automática de mensagens enviadas pelo próprio WhatsApp do usuário comprometido. O worm, desenvolvido em Python, automatiza o compartilhamento de arquivos ou links para contatos individuais. Dessa forma, evita listas de transmissão e grupos, o que reduz os mecanismos de detecção e aumenta a chance de sucesso da campanha.
Funcionamento do ataque
Após alcançar o dispositivo, o código malicioso entrega um instalador em formato MSI. Esse instalador libera o trojan Eternidade Stealer, desenvolvido em Delphi. O malware monitora aplicativos bancários e carteiras digitais instaladas no sistema, Com isso, podem capturar dados sensíveis como senhas, chaves privadas e frases-semente utilizadas em carteiras de criptomoedas.
Com isso, os agentes maliciosos conseguem acessar e movimentar ativos financeiros e digitais armazenados pelo usuário, incluindo fundos em exchanges como Binance, Coinbase, Trust Wallet e MetaMask.
A análise da Trustwave mostra que a campanha utiliza verificações linguísticas e de geolocalização para limitar a infecção a alvos brasileiros. O malware interrompe sua execução caso o idioma do sistema não esteja definido como português do Brasil.
Confira nossas sugestões de Pre-Sales para investir agora
Além disso, conta com geofencing ativo para restringir ataques ao país e à América do Sul. Mesmo assim, os pesquisadores observaram tentativas de comunicação remota originadas em diversos países, indicando operações paralelas ou sondagens internacionais.
Impactos e riscos para os usuários
A infecção pode gerar uma série de consequências, entre elas a exposição de credenciais bancárias e cripto, movimentações financeiras indevidas, captura de chaves privadas e clonagem da agenda de contatos. Outro risco destacado é a dificuldade de identificar o ataque, já que o worm utiliza a própria conta do WhatsApp para enviar mensagens, enquanto o trojan permanece inativo até que aplicativos financeiros sejam abertos.
Boas práticas de segurança digital continuam essenciais. A recomendação é evitar clicar em arquivos MSI, scripts ou links enviados pelo WhatsApp sem verificação prévia. Atualizar o sistema operacional, antivírus e aplicativos também reduz vulnerabilidades.
Usuários de cripto devem manter ativada a autenticação em dois fatores e revisar regularmente sua lista de dispositivos conectados. Caso haja sinais de comportamento anormal, como mensagens automáticas, instalação de aplicativos desconhecidos ou atividades inesperadas, a orientação é desconectar o dispositivo da internet e alterar senhas imediatamente.
Alerta para o setor financeiro digital
A campanha sinaliza uma tendência crescente: ataques que exploram aplicativos de mensagens para atingir usuários de bancos digitais, carteiras e exchanges.
Como o ponto inicial de infecção costuma ocorrer em dispositivos pessoais, empresas do setor de cripto e fintechs precisam reforçar políticas de verificação e monitoramento, já que o risco se estende ao ambiente corporativo.