Киберпреступники запустили новую кампанию по распространению банковского трояна Eternidade Stealer, который крадет данные и использует WhatsApp для заражения новых жертв. Специалисты Trustwave SpiderLabs обнаружили, что схема атаки включает Python-скрипты, AutoIt и компоненты на Delphi – что свидетельствует об усложнении тактик хакеров.
Главная особенность — использование Python вместо PowerShell. Скрипт перехватывает доступ к WhatsApp Web и рассылает вредоносные файлы от имени пользователя, как это раньше было в кампании Water Saci. Заражение начинается с VBS-скрипта, который запускает bat-файл. Далее атака разделяется на два направления: Python-червь рассылает вредоносные вложения контактам жертвы, а MSI-установщик через AutoIt доставляет основной троян.
Eternidade Stealer следит за финансовыми приложениями, банками Bradesco, BTG Pactual, сервисом MercadoPago, биржами Binance и Coinbase, а также криптогаманцами MetaMask и Trust Wallet. Для связи он использует данные, полученные через почтовый ящик, или резервный сервер.
Основные атаки фиксируются в Бразилии и Аргентине, хотя подозрительная активность заметна и в США, Германии и Нидерландах. Эксперты советуют не открывать подозрительные сообщения в WhatsApp и не запускать случайные MSI-файлы, поскольку кампания быстро развивается и совершенствует методы обхода защиты.