Python-Trojaner über WhatsApp klaut in Brasilien Bank- und Kryptodaten

Ein neuer digitaler Parasit macht in Brasilien die Runde – und niemand ist sicher.

Der perfide Messenger-Wurm

Über scheinbar harmlose WhatsApp-Nachrichten schleust sich ein Python-basierter Trojaner in brasilianische Smartphones. Das fiese Stück Code fischt sich Zugangsdaten zu Bankkonten und Krypto-Wallets direkt von den Handys der Opfer.

Warum Brasilien?

Das Land entwickelt sich zum Hotspot für Krypto-Kriminalität – wo viel digitales Vermögen fließt, folgen Diebe schneller als Regulierungsbehörden reagieren können. Typisch: Während Anleger auf steigende Kurse hoffen, arbeiten Cyberkriminelle an der Enteignung.

Die bittere Ironie

Ausgerechnet Python – die Programmiersprache, mit der so viele legitime Krypto-Projekte entwickelt werden – wird hier zum Werkzeug für Diebstahl. Die Technologie, die Finanzfreiheit verspricht, wird gegen ihre eigenen Nutzer gewendet.

Fazit: In der digitalen Welt gilt mehr denn je – vertraue niemandem, verifiziere alles. Besonders wenn's um deine Kryptos geht.

Eternidade-Stealer verbirgt Aktivitäten mittels VBScript

Laut einem Bericht von Trustwave SpiderLabs beginnt der Angriff mit einem verschleierten VBScript, dessen Kommentare größtenteils in Portugiesisch verfasst sind.

Der Python-Wurm verwendet kürzeren, agileren Code, um WhatsApp-Aktivitäten zu automatisieren und mithilfe der wppconnect-Bibliotheken vollständige Kontaktlisten zutrac, personalisierte Begrüßungen basierend auf der Tageszeit zu versenden und die Namen der Empfänger in Nachrichten mit schädlichen Anhängen einzufügen.

WhatsApp-Adressbuch des Opfers zu stehlen . Für jeden Kontakt erfasst der Wurm Telefonnummer und Namen, um herauszufinden, ob die Person lokal gespeichert ist und ein Gerät besitzt, das angegriffen werden kann.

Die Daten werden über eine HTTP-POST-Anfrage an einen vom Angreifer kontrollierten Server übermittelt. Nach der Datenerfassung sendet ein Wurm mithilfe einer vorgefertigten Nachrichtenvorlage einen schädlichen Anhang an jeden Kontakt.

MSI-Installer installiert lokalisierten Banking-Trojaner

Die zweite Phase des Angriffs beginnt, sobald das MSI-Installationsprogramm mehrere Komponenten ablegt, darunter ein AutoIt-Skript, das sofort überprüft, ob die Gerätesprache auf brasilianisches Portugiesisch eingestellt ist. 

Wenn das System diese Bedingung nicht erfüllt, schaltet sich die Malware ab, was bedeuten könnte, dass die Bedrohungsakteure beabsichtigen, nur Benutzer in Brasilien ins Visier zu nehmen.

Wenn die Gebietsschemaprüfung erfolgreich ist, durchsucht das Skript laufende Prozesse und Registrierungsschlüssel nach Anzeichen von Sicherheitstools. Es erstellt außerdem ein Geräteprofil und sendet Systemdetails an den Command-and-Control-Server der Angreifer zurück.

Der Angriff endet damit, dass die Schadsoftware die Eternidade Stealer-Payload in „svchost.exe“ einschleust. Dies geschieht mithilfe eines Verfahrens, das als „Hollowing“ bekannt ist und bösartigen Code in legitimen Windows-Prozessen versteckt.

Eternidade Stealer überwacht kontinuierlich aktive Fenster und Prozesse auf Zeichenketten im Zusammenhang mit Finanzdienstleistungen, darunter einige der größten Banken Brasiliens und internationale Fintech-Plattformen. 

Zu den von Trustwave genannten Finanzunternehmen gehören Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe sowie die Kryptounternehmen Binance, Coinbase, MetaMask und Trust Wallet.

Brasilianische Banking-Trojaner bleiben meist inaktiv, bis das Opfer eine Finanzanwendung öffnet. Dann werden Overlays oderdentzum Abgreifen von Zugangsdaten aktiviert, ohne dass dies für normale Benutzer oder automatisierte Sicherheitsanalysetools erkennbar ist.

Malware-Geofencing beschränkt Angriffe auf brasilianische WhatsApp-Nutzer. 

Trustwave SpiderLabs veröffentlichte außerdem Panel-Statistiken, die zeigten, dass die Malware den Zugriff auf Systeme außerhalb Brasiliens und Argentiniens einschränkt. Von 454 aufgezeichneten Kommunikationsversuchen wurden 452 aufgrund von Geofencing-Regeln blockiert. Nur zwei Verbindungen wurden zugelassen und auf die eigentliche Schadsoftware-Domain umgeleitet, während blockierte Versuche auf eine Platzhalter-Fehlerseite umgeleitet wurden.

Von den fehlgeschlagenen Verbindungsversuchen stammten 196 aus den USA, gefolgt von den Niederlanden, Deutschland, Großbritannien und Frankreich. Windows verzeichnete mit 115 Versuchen den größten Anteil an Systemverbindungen, die Protokolle enthielten jedoch auch 94 Verbindungen unter macOS, 45 unter Linux und 18 unter Android-Geräten.

Die Entdeckung erfolgte wenige Wochen, nachdem Trustwave eine weitere Operation namens „Water Saci“ entdeckt hatte, die sich über WhatsApp Web mithilfe eines Wurms namens SORVEPOTEL verbreitete. Diese Schadsoftware dient als Einfallstor für Maverick, einen NET-basierten Banking-Trojaner, der, wie Cryptopolitan letzte Woche berichtete

30 Tage lang kostenlos einer Premium- für den Krypto-Handel