Ảnh minh họa. Convergencia Digital

Lây lan qua WhatsApp, tự động đánh cắp toàn bộ danh bạ

Cuộc tấn công bắt đầu khi người dùng nhận được tập tin VBScript được che giấu dưới dạng một tin nhắn thân thiện trên WhatsApp. Mã độc, kèm theo các ghi chú tiếng Bồ Đào Nha kích hoạt file batch tải về nhiều payload, gồm: Sâu độc “worm” viết bằng ngôn ngữ Python dùng để chiếm quyền nhắn tin WhatsApp và tự động phát tán mã độc, bộ cài MSI chứa trojan lõi.

Khác với các chiến dịch cũ dùng PowerShell, worm Python này thể hiện xu hướng tấn công mới: tự động hóa hoàn toàn thao tác trong WhatsApp, từ đó chiếm quyền tài khoản rồi phát tán tiếp sang danh bạ nạn nhân. Điểm nổi bật nhất của Eternidade Stealer là khả năng trích xuất toàn bộ danh bạ WhatsApp để mở rộng lây nhiễm.

Mã độc tận dụng thư viện wppconnect-w.js (thư viện tự động hóa WhatsApp Web) để lấy danh sách liên hệ, tự động lọc bỏ nhóm và số doanh nghiệp, chỉ nhắm đến người dùng cá nhân, nhóm mục tiêu dễ bị lừa mở file nhất.

Dữ liệu danh bạ bao gồm tên + số điện thoại được gửi tức thời về máy chủ điều khiển (C2) qua HTTP POST.

Tin nhắn độc hại được cá nhân hóa theo thời điểm trong ngày (“bom dia”, “boa tarde”, “boa noite”) và tên người nhận, tạo cảm giác giống tin nhắn giao dịch từ doanh nghiệp thật. File chứa mã độc được đính kèm ngay trong lời chào để tăng tỷ lệ nhấp để mở.

Cài đặt payload bổ sung, nhắm mạnh vào ngân hàng và ví tiền số

Giai đoạn tiếp theo, file MSI độc hại sẽ giải nén: bao gồm các tải trọng được mã hóa và trình tải tập lệnh AutoIt để chạy mã độc trong bộ nhớ (in‑memory).

Tội phạm mạng có mục tiêu rất rõ ràng, kiểm tra cài đặt ngôn ngữ của hệ điều hành để đảm bảo mục tiêu là người dùng Brazil, khi  kiểm tra ngôn ngữ hệ điều hành, nếu không phải tiếng Bồ Đào Nha (Brazil) mã độc sẽ báo lỗi và tự dừng.

Mã độc thực hiện do thám hệ thống qua WMI và registry, thu thập: thông tin thiết bị, địa chỉ IP, tiến trình đang chạy và các phần mềm bảo mật đã cài đặt.

Một cơ chế đặc biệt là khả năng cập nhật động địa chỉ C2 thông qua IMAP (Internet Message Access Protocol) giao thức cho phép phần mềm truy cập email trên máy chủ.

Trojan đăng nhập vào một tài khoản email cố định trên máy chủ C2 mới nhất. Nếu kết nối thất bại, mã độc chuyển sang máy chủ dự phòng, khiến cuộc xâm nhập khó bị triệt phá bằng các biện pháp chặn tên miền thông thường.

Sau khi xâm nhập, Eternidade Stealer theo dõi các ứng dụng ngân hàng Brazil, nền tảng fintech và ví tiền điện tử. Khi phát hiện người dùng truy cập, mã độc hiển thị cửa sổ phủ (overlay) mã hóa tương tự giao diện ngân hàng hoặc nền tảng tài chính, lừa người dùng nhập thông tin đăng nhập và thu thập. Dữ liệu được gửi thẳng về máy chủ của tội phạm mạng.

Ngoài ra, trojan còn có khả năng nhận lệnh của tin tặc từ xa để: ghi lại các thao tác bàn phím, thu thập tệp trong thiết bị và gửi dữ liệu về máy chủ tin tặc.

Mối đe dọa mới cho người dùng WhatsApp tại Brazil

Với phương thức phát tán theo vùng, khả năng lấy cắp danh bạ thời gian thực và kiến trúc đa mô-đun, Eternidade Stealer cho thấy mức độ tiến hóa đáng kể của tội phạm mạng Brazil.

Chiến dịch đặt ra yêu cầu cấp bách cho các tổ chức và cá nhân: giám sát lưu lượng WhatsApp, hạn chế chạy script không rõ nguồn gốc, và triển khai biện pháp phát hiện hành vi bất thường trên thiết bị.

An Lâm (Theo Cyber Press)