СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.10.2025
#ИБ

Самораспространяющийся червь в WhatsApp целится в банки и криптобиржи Бразилии

Самораспространяющийся червь в WhatsApp целится в банки и криптобиржи Бразилии

Источник: news.sophos.com

29 сентября 2025 года стартовала масштабная хакерская кампания, нацеленная на пользователей мессенджера WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) в Бразилии. Злоумышленники применяют самораспространяющийся Worm, который использует заражённые веб‑сеансы и доверие пользователей мессенджеров для быстрой экспансии и внедрения финансового вредоносного ПО.

Что произошло

По данным расследования, проведённого Подразделением по борьбе с угрозами (CTU), атака начинается с отправки вредоносного файла контактам жертвы через скомпрометированный аккаунт WhatsApp. После выполнения файла червь не только реплицируется, рассылкой по контактам, но и устанавливает банковский троян, ориентированный на бразильские банки и криптовалютные биржи.

«Кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов.»

Механизм атаки

  • Заражённые веб‑сеансы WhatsApp позволяют червю отправлять сообщения от имени пользователя.
  • В сообщениях содержатся вложения или ссылки с вредоносными файлами; их запуск приводит к установке Worm и последующему распространению.
  • Параллельно внедряется банковский троян, специализирующийся на похищении учётных данных и финансовой информации пользователей, а также на перехвате операций с криптовалютой.
  • Социальная инженерия (сообщения от знакомых, срочные просьбы, фишинговые тексты) повышает вероятность того, что получатель выполнит файл.

Целевая аудитория и риски

Основной целью атак являются пользователи WhatsApp в Бразилии — как частные лица, так и клиенты банков и криптовалютных сервисов. Эта кампания представляет собой «двойную угрозу»: одновременно распространяющийся червь ускоряет поражение соседних жертв, а установленный троян направлен на сбор конфиденциальных финансовых данных и финансовое мошенничество.

Индикаторы компрометации (что настораживает)

  • Неожиданные сообщения от знакомых с вложениями или ссылками, которые сопровождаются нетипичным для отправителя текстом.
  • Файлы с необычными расширениями или именами, требующие запуска (например, исполняемые файлы, скрипты) вместо привычных документов.
  • Неожиданные переводы или запросы на подтверждение платежей после получения подозрительных сообщений.
  • Подозрительная активность аккаунта: сообщения, которые вы не отправляли, или список контактов, получивших одинаковое сообщение.

Рекомендации для пользователей

Будьте предельно осторожны с неожиданными сообщениями и вложениями, даже если они приходят от знакомых. Исследователи CTU настоятельно рекомендуют:

  • Не открывать файлы и не запускать приложения, полученные через мессенджеры, пока вы не подтвердите их подлинность у отправителя.
  • Проверять у отправителя факт отправки — свяжитесь другим способом (звонок, отдельное сообщение) вместо того, чтобы сразу открывать вложение.
  • Обновлять операционную систему и приложения, включая WhatsApp, чтобы минимизировать риск эксплуатации известных уязвимостей.
  • Включить двухфакторную аутентификацию (2FA) для аккаунтов, особенно банковских и криптовалютных сервисов.
  • Использовать проверенные решения безопасности и регулярно сканировать устройства антивирусными средствами.
  • Делать резервные копии важных данных и при любых признаках компрометации немедленно менять пароли и сообщать в банк о подозрительных операциях.
  • Сообщать о подозрительных сообщениях в техподдержку WhatsApp и в национальные органы кибербезопасности.

Заключение

Кампания, запущенная 29 сентября 2025 года, демонстрирует опасную комбинацию самораспространяющегося Worm и целевого банковского трояна. Злоумышленники делают ставку на человеческий фактор и доверие в мессенджерах, что делает каждого пользователя потенциальной мишенью и источником дальнейшего распространения. Своевременная бдительность и соблюдение простых правил безопасности остаются ключевыми мерами защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: