Investigadores de ciberseguridad han revelado detalles de una nueva campaña que aprovecha una combinación de ingeniería social y secuestro de WhatsApp para distribuir un troyano bancario basado en Delphi llamado Ladrón de la eternidad como parte de ataques dirigidos a usuarios en Brasil.
«Utiliza el Protocolo de acceso a mensajes de Internet (IMAP) para recuperar dinámicamente direcciones de comando y control (C2), lo que permite al actor de amenazas actualizar su servidor C2», dijeron los investigadores de Trustwave SpiderLabs Nathaniel Morales, John Basmayor y Nikita Kazymirskyi en un desglose técnico de la campaña compartido con The Hacker News.
«Se distribuye a través de una campaña de gusanos de WhatsApp, y el actor ahora implementa un script Python, un cambio respecto de los scripts anteriores basados en PowerShell para secuestrar WhatsApp y difundir archivos adjuntos maliciosos.
Los hallazgos llegan inmediatamente después de otra campaña denominada Water Saci que se ha dirigido a usuarios brasileños con un gusano que se propaga a través de WhatsApp Web conocido como SORVEPOTEL, que luego actúa como un conducto para Maverick, un troyano bancario .NET que se considera una evolución de un malware bancario .NET denominado Coyote.
El grupo Eternidade Stealer es parte de una actividad más amplia que ha abusado de la ubicuidad de WhatsApp en el país sudamericano para comprometer los sistemas de las víctimas y utilizar la aplicación de mensajería como vector de propagación para lanzar ataques a gran escala contra instituciones brasileñas.
Otra tendencia notable es la preferencia continua por el malware basado en Delphi por parte de los actores de amenazas dirigidos a América Latina, impulsada en gran medida no solo por su eficiencia técnica sino también por el hecho de que el lenguaje de programación se enseñó y utilizó en el desarrollo de software en la región.
El punto de partida del ataque es un script de Visual Basic ofuscado, que incluye comentarios escritos principalmente en portugués. El script, una vez ejecutado, suelta un script por lotes que es responsable de entregar dos cargas útiles, bifurcando efectivamente la cadena de infección en dos:
- Un script de Python que activa la diseminación del malware a través de la web de WhatsApp en forma de gusano.
- Un instalador MSI que utiliza un script AutoIt para iniciar Eternidade Stealer
El script Python, similar a SORVEPOTEL, establece comunicación con un servidor remoto y aprovecha el proyecto de código abierto WPPConnect para automatizar el envío de mensajes en cuentas secuestradas a través de WhatsApp. Para hacer esto, recopila toda la lista de contactos de la víctima, mientras filtra grupos, contactos comerciales y listas de difusión.
Luego, el malware procede a capturar, para cada contacto, su número de teléfono de WhatsApp, nombre e información que indica si es un contacto guardado. Esta información se envía al servidor controlado por el atacante a través de una solicitud HTTP POST. En la etapa final, se envía un archivo adjunto malicioso a todos los contactos en forma de archivo adjunto malicioso haciendo uso de una plantilla de mensajería y completando ciertos campos con saludos basados en la hora y nombres de contactos.
La segunda etapa del ataque comienza cuando el instalador de MSI lanza varias cargas útiles, incluido un script AutoIt que verifica si el sistema comprometido está basado en Brasil al inspeccionar si el idioma del sistema operativo es el portugués brasileño. De lo contrario, el malware termina automáticamente. Esto indica un esfuerzo de focalización hiperlocalizado por parte de los actores de amenazas.
Posteriormente, el script escanea los procesos en ejecución y las claves de registro para determinar la presencia de productos de seguridad instalados. También perfila la máquina y envía los detalles a un servidor de comando y control (C2). El ataque culmina cuando el malware inyecta la carga útil de Eternidade Stealer en «svchost.exe» mediante el proceso de vaciado.
Eternidade, un ladrón de credenciales basado en Delphi, escanea continuamente ventanas activas y procesos en ejecución en busca de cadenas relacionadas con portales bancarios, servicios de pago e intercambios y billeteras de criptomonedas, como Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask y Trust Wallet, entre otros.
«Tal comportamiento refleja una táctica clásica bancaria o de ladrón de superposiciones, donde los componentes maliciosos permanecen inactivos hasta que la víctima abre una aplicación bancaria o de billetera específica, asegurando que el ataque se desencadene solo en contextos relevantes y permanezca invisible para los usuarios ocasionales o entornos sandbox», dijeron los investigadores.
Una vez que se encuentra una coincidencia, se pone en contacto con un servidor C2, cuyos detalles se obtienen de una bandeja de entrada vinculada a una dirección de correo electrónico terra.com(.)br, reflejando una táctica adoptada recientemente por Water Saci. Esto permite a los actores de amenazas actualizar su C2, mantener la persistencia y evadir detecciones o eliminaciones. En caso de que el malware no pueda conectarse a la cuenta de correo electrónico utilizando credenciales codificadas, utiliza una dirección C2 alternativa incrustada en el código fuente.
Tan pronto como se establece una conexión exitosa con el servidor, el malware espera los mensajes entrantes que luego se procesan y ejecutan en los hosts infectados, lo que permite a los atacantes registrar pulsaciones de teclas, realizar capturas de pantalla y robar archivos. Algunos de los comandos notables se enumeran a continuación:
- para recopilar información del sistema.
- para monitorear la actividad del usuario e informar la ventana actualmente activa
- para enviar una superposición personalizada para el robo de credenciales basada en la ventana activa
Trustwave dijo que un análisis de la infraestructura de los actores de amenazas condujo al descubrimiento de dos paneles, uno para administrar el sistema Redirector y otro panel de inicio de sesión, probablemente utilizado para monitorear los hosts infectados. El sistema Redirector contiene registros que muestran el número total de visitas y bloqueos de conexiones que intentan llegar a la dirección C2.
Si bien el sistema sólo permite el acceso a máquinas ubicadas en Brasil y Argentina, las conexiones bloqueadas se redirigen a «google(.)com/error». Las estadísticas registradas en el panel muestran que 452 de 454 visitas fueron bloqueadas debido a las restricciones de geocerca. Se dice que sólo las dos visitas restantes fueron redirigidas al dominio objetivo de la campaña.
De los 454 registros de comunicaciones, 196 conexiones se originaron en EE. UU., seguido de los Países Bajos (37), Alemania (32), el Reino Unido (23), Francia (19) y Brasil (3). El sistema operativo Windows contabilizó 115 conexiones, aunque los datos del panel indican que también procedieron de macOS (94), Linux (45) y Android (18).
«Aunque la familia de malware y los vectores de distribución son principalmente brasileños, la posible huella operativa y la exposición de las víctimas son mucho más globales», afirmó Trustwave. «Los defensores de la ciberseguridad deben permanecer atentos a actividades sospechosas en WhatsApp, ejecuciones inesperadas de MSI o scripts e indicadores vinculados a esta campaña en curso».