Les autorités brésiliennes tirent la sonnette d’alarme face à une nouvelle campagne de piratage visant les détenteurs de crypto. Un virus diffusé sur WhatsApp sert de cheval de Troie pour installer un malware bancaire. L’objectif est simple : voler les identifiants financiers et portefeuilles cryptographiques.
Le virus actuellement diffusé par messages WhatsApp sur le réseau brésilien n’a rien d’anodin. Un simple clic sur la pièce jointe infectée installe à la fois le virus et le cheval de Troie bancaire Eternidade Stealer. Le compte WhatsApp de la victime est ensuite détourné et envoie automatiquement le même fichier piégé à ses contacts.
Cela rend l’attaque très virale. Les chercheurs de Trustwave SpiderLabs décrivent une chaîne d’infection en plusieurs étapes. Un script obfusqué téléchargé sur l’ordinateur ou le mobile installe deux charges utiles. Un virus WhatsApp codé en Python et un installateur contenant le logiciel malicieux Eternidade Stealer.
Le virus s’appuie sur le projet open source WPPConnect pour contrôler WhatsApp Web et automatiser l’envoi de messages. Le malware récupère la liste des contacts de façon automatique et y applique un filtrage intelligent. Il ignore les groupes et la plupart des comptes professionnels pour cibler des personnes physiques, théoriquement plus vulnérables.
Eternidade Stealer se charge ensuite du vol de données. Une fois installé, il scanne le système à la recherche d’identifiants bancaires, de données fintech et de logins vers des plateformes crypto brésiliennes. Le code vérifie que le système utilise le portugais brésilien et s’arrête si ce n’est pas le cas.
C’est le signe d’un ciblage géographique très précis et sophistiqué. Autre élément clé, la communication avec l’infrastructure criminelle passe par un compte Gmail intégré en dur. Le malware se connecte à cette boîte via IMAP pour récupérer l’adresse de son serveur de commande.
Les opérateurs peuvent ainsi changer de serveur en envoyant un simple mail. Si le Brésil est visé avec autant d’insistance, c’est parce qu’il pèse lourd de plus en plus lourd dans la crypto. D’après Chainalysis, le pays est le premier marché d’Amérique latine et se classe cinquième mondial en matière d’adoption.
D’autres campagnes d’attaques malveillantes, comme Water Saci ou Maverick, ont déjà utilisé WhatsApp Web pour diffuser des chevaux de Troie bancaires visant banques et exchanges brésiliens. Les chercheurs y relèvent des constantes entre chaque attaque. Virus auto propagé, outils open source réutilisés et vérification stricte que la victime réside bien au Brésil.
Pour les utilisateurs, la première ligne de défense reste la méfiance. Les utilisateurs de WhatsApp ne devraient ouvrir aucun fichier sans vérification préalable, même s’il vient d’un ami, collègue ou proche. Son téléphone pourrait être infecté et avoir envoyé le message de façon automatique pour répandre le virus.
Il est prudent de contacter l’expéditeur par un autre canal pour confirmer qu’il a bien envoyé le fichier. Les liens sans contexte, ou accompagnés d’un message pressant, doivent être considérés comme suspects par défaut. Les attaques sophistiquées sont monnaie courante dans le secteur crypto.
La mise à jour des systèmes et des antivirus reste indispensable. Elle ne bloque pas tout, mais réduit l’exposition aux failles déjà connues. En cas de comportement étrange sur WhatsApp ou sur l’ordinateur, il faut couper les sessions Web, changer ses mots de passe et surveiller de près ses comptes bancaires et portefeuilles crypto.
Cette campagne de phishing d’Eternidade Stealer rappelle que la sécurité est une question de tous les instants. Et elle commence par des réflexes simples d’hygiène numérique.
