Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Самораспространяющийся червь в WhatsApp целится в банки и криптобиржи Бразилии

1
3 мин
29 сентября 2025 года стартовала масштабная хакерская кампания, нацеленная на пользователей мессенджера WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) в Бразилии. Злоумышленники применяют самораспространяющийся Worm, который использует заражённые веб‑сеансы и доверие пользователей мессенджеров для быстрой экспансии и внедрения финансового вредоносного ПО. По данным расследования, проведённого Подразделением по борьбе с угрозами (CTU), атака начинается с отправки вредоносного файла контактам жертвы через скомпрометированный аккаунт WhatsApp. После выполнения файла червь не только реплицируется, рассылкой по контактам, но и устанавливает банковский троян, ориентированный на бразильские банки и криптовалютные биржи. «Кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов.» Основной целью атак являются пользователи Wha
Оглавление
Источник: news.sophos.com
Источник: news.sophos.com

29 сентября 2025 года стартовала масштабная хакерская кампания, нацеленная на пользователей мессенджера WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) в Бразилии. Злоумышленники применяют самораспространяющийся Worm, который использует заражённые веб‑сеансы и доверие пользователей мессенджеров для быстрой экспансии и внедрения финансового вредоносного ПО.

Что произошло

По данным расследования, проведённого Подразделением по борьбе с угрозами (CTU), атака начинается с отправки вредоносного файла контактам жертвы через скомпрометированный аккаунт WhatsApp. После выполнения файла червь не только реплицируется, рассылкой по контактам, но и устанавливает банковский троян, ориентированный на бразильские банки и криптовалютные биржи.

«Кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов.»

Механизм атаки

  • Заражённые веб‑сеансы WhatsApp позволяют червю отправлять сообщения от имени пользователя.
  • В сообщениях содержатся вложения или ссылки с вредоносными файлами; их запуск приводит к установке Worm и последующему распространению.
  • Параллельно внедряется банковский троян, специализирующийся на похищении учётных данных и финансовой информации пользователей, а также на перехвате операций с криптовалютой.
  • Социальная инженерия (сообщения от знакомых, срочные просьбы, фишинговые тексты) повышает вероятность того, что получатель выполнит файл.

Целевая аудитория и риски

Основной целью атак являются пользователи WhatsApp в Бразилии — как частные лица, так и клиенты банков и криптовалютных сервисов. Эта кампания представляет собой «двойную угрозу»: одновременно распространяющийся червь ускоряет поражение соседних жертв, а установленный троян направлен на сбор конфиденциальных финансовых данных и финансовое мошенничество.

Индикаторы компрометации (что настораживает)

  • Неожиданные сообщения от знакомых с вложениями или ссылками, которые сопровождаются нетипичным для отправителя текстом.
  • Файлы с необычными расширениями или именами, требующие запуска (например, исполняемые файлы, скрипты) вместо привычных документов.
  • Неожиданные переводы или запросы на подтверждение платежей после получения подозрительных сообщений.
  • Подозрительная активность аккаунта: сообщения, которые вы не отправляли, или список контактов, получивших одинаковое сообщение.

Рекомендации для пользователей

Будьте предельно осторожны с неожиданными сообщениями и вложениями, даже если они приходят от знакомых. Исследователи CTU настоятельно рекомендуют:

  • Не открывать файлы и не запускать приложения, полученные через мессенджеры, пока вы не подтвердите их подлинность у отправителя.
  • Проверять у отправителя факт отправки — свяжитесь другим способом (звонок, отдельное сообщение) вместо того, чтобы сразу открывать вложение.
  • Обновлять операционную систему и приложения, включая WhatsApp, чтобы минимизировать риск эксплуатации известных уязвимостей.
  • Включить двухфакторную аутентификацию (2FA) для аккаунтов, особенно банковских и криптовалютных сервисов.
  • Использовать проверенные решения безопасности и регулярно сканировать устройства антивирусными средствами.
  • Делать резервные копии важных данных и при любых признаках компрометации немедленно менять пароли и сообщать в банк о подозрительных операциях.
  • Сообщать о подозрительных сообщениях в техподдержку WhatsApp и в национальные органы кибербезопасности.

Заключение

Кампания, запущенная 29 сентября 2025 года, демонстрирует опасную комбинацию самораспространяющегося Worm и целевого банковского трояна. Злоумышленники делают ставку на человеческий фактор и доверие в мессенджерах, что делает каждого пользователя потенциальной мишенью и источником дальнейшего распространения. Своевременная бдительность и соблюдение простых правил безопасности остаются ключевыми мерами защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Самораспространяющийся червь в WhatsApp целится в банки и криптобиржи Бразилии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.