Un nuovo worm di WhatsApp sta dilagando in Brasile, rubando credenziali bancarie e chiavi crittografiche agli utenti comuni, avvertono le aziende di sicurezza.
Le vittime ricevono un messaggio che sembra familiare (una bolla di consegna, un avviso governativo o un invito a un gruppo) e con un clic la minaccia può diffondersi tra i loro contatti, mentre un trojan nascosto estrae dati dai loro computer.
Come si diffonde il verme
Secondo i report sulla sicurezza, gli aggressori inviano file ZIP tramite WhatsApp che contengono un collegamento dannoso .LNK. Una volta aperto, il collegamento esegue comandi ingannevoli che caricano più codice in memoria, riducendo così la quantità di dati scritti sul disco rigido.
Questa fase "fileless" aiuta il malware a eludere alcuni strumenti antivirus. Secondo alcune segnalazioni, l'infezione dirotta anche le sessioni di WhatsApp Web per inviare la stessa esca agli amici della vittima, facendo sì che l'attacco si comporti come un worm.
Un gruppo di analisti ha affermato che più di 400 "ambienti dei clienti" e oltre 1.000 endpoint hanno mostrato segni di compromissione, mentre un'altra azienda ha bloccato circa 62.000 tentativi di infezione nei primi 10 giorni di ottobre.
Obiettivi e tecniche
Le segnalazioni hanno rivelato due principali ceppi attivi in Brasile. Uno è un trojan bancario chiamato Eternidade Stealer, che utilizza un account Gmail come canale di comando nascosto.
L'altro, noto come Maverick, si affida a strumenti di automazione come WPPConnect per gestire WhatsApp Web e inviare messaggi dannosi da account infetti.
Le minacce cercano le impostazioni locali prima di attivarsi completamente, controllando il fuso orario e la lingua, in modo che il codice venga eseguito principalmente su macchine impostate sul Brasile.
I ricercatori di sicurezza affermano che il malware può catturare istantanee delle schermate, registrare le sequenze di tasti premuti e sovrapporre pagine di accesso false su siti web di banche o di cambio valuta.
L'elenco degli obiettivi è ampio: comprende 26 banche brasiliane, sei exchange di criptovalute e una piattaforma di pagamento.
Il filtraggio intelligente peggiora la situazione
Gli aggressori sembrano evitare contatti aziendali o di gruppo. Questa scelta sembra studiata per limitare i messaggi a ristrette cerchie personali e ridurre la possibilità di un rilevamento precoce.
Una volta che un familiare o un amico apre il link, lo stesso ciclo può ripetersi. Poiché il worm si diffonde tramite account attendibili, è più probabile che le persone cadano nella trappola.
L'uso di servizi ampiamente disponibili come Gmail per le istruzioni di controllo rende più difficile per i difensori bloccare un singolo server di comando.
Cosa fare se sei esposto
Secondo gli esperti di sicurezza, se i fondi sono a rischio, è opportuno agire rapidamente. Congelare o bloccare i conti quando possibile, avvisare il proprio exchange o la propria banca e segnalare l'incidente alle autorità locali.
Abilita l'autenticazione a più fattori su ogni conto finanziario e utilizza le whitelist di prelievo, ove disponibili. Secondo gli esperti, non aprire file ZIP o .LNK da WhatsApp , nemmeno da contatti noti, senza prima aver verificato tramite un messaggio separato o una telefonata.
Brasile al n. 5
I dati di Chainalysis mostrano che il Brasile è al primo posto in America Latina per utilizzo delle criptovalute e occupa il quinto posto nella classifica 2025 Global Crypto Adoption Index Top 20 della piattaforma.
Immagine in evidenza da Gemini, grafico da TradingView