Cacing WhatsApp Menyebarkan Trojan Perbankan di Seluruh Brasil, Menargetkan Dompet Kripto

Kampanye ini menggunakan trojan perbankan bernama Eternidade Stealer yang secara khusus menargetkan dompet kripto dan login keuangan di pasar aset digital terbesar Amerika Latin.

Bagaimana Serangan Bekerja

Malware ini menyebar melalui WhatsApp menggunakan dua komponen utama: worm yang mereplikasi diri dan trojan perbankan. Ketika korban mengklik tautan berbahaya yang dikirim melalui WhatsApp, mereka memicu urutan otomatis yang membajak akun mereka dan mengunduh perangkat lunak berbahaya di latar belakang.

Peneliti Trustwave SpiderLabs mengidentifikasi kampanye ini pada November 2025. Para peneliti mencatat bahwa aktor ancaman menggunakan program pemerintah palsu, notifikasi pengiriman, dan kelompok investasi palsu untuk menipu orang agar mengklik tautan berbahaya.

Komponen worm membajak akun WhatsApp dan mengakses daftar kontak. Ini menggunakan penyaringan cerdas untuk mengabaikan kontak bisnis dan grup, fokus pada individu yang lebih mungkin terjebak dalam penipuan. Malware kemudian secara otomatis mengirim pesan personal ke setiap kontak, menggunakan nama asli mereka dan salam yang sesuai waktu dalam bahasa Portugis.

Sumber: trustwave.com

Sementara itu, trojan perbankan diam-diam menginstal dirinya pada perangkat korban. Eternidade Stealer ini memindai aplikasi keuangan dan dompet kripto yang berjalan di komputer. Ketika mendeteksi aplikasi perbankan atau pertukaran kripto, malware segera aktif dan mulai mencuri kredensial login.

Layanan Keuangan dan Platform Kripto yang Ditargetkan

Malware ini menargetkan berbagai institusi keuangan Brasil termasuk bank-bank besar seperti Bradesco, BTG Pactual, Itaú, Santander, dan Caixa Econômica Federal. Layanan pembayaran seperti MercadoPago dan Stripe juga ada dalam daftar target.

Bagi pengguna cryptocurrency, ancamannya sangat parah. Malware ini mencari kredensial dari bursa termasuk Binance, Coinbase, Kraken, dan banyak lainnya. Ini juga menargetkan dompet kripto populer seperti MetaMask, Trust Wallet, Exodus, Ledger Live, dan Phantom Wallet di antara banyak lainnya.

Brasil mewakili target yang menarik bagi penjahat siber karena adopsi kripto yang signifikan. Negara ini menempati peringkat kelima secara global pada indeks adopsi kripto Chainalysis dan memproses sekitar $319 miliar dalam transaksi kripto antara pertengahan 2024 dan pertengahan 2025.

Teknik Penghindaran Canggih

Yang membuat Eternidade Stealer sangat berbahaya adalah pendekatannya yang cerdas untuk menghindari deteksi. Tidak seperti malware tipikal yang terhubung ke alamat server tetap, trojan ini menggunakan akun email untuk menerima instruksi dari peretas.

Malware ini berisi kredensial login yang dikodekan untuk akun Gmail. Ini terhubung ke akun-akun tersebut menggunakan protokol email standar (IMAP) untuk memeriksa perintah baru. Metode ini berbaur dengan lalu lintas email normal, membuatnya lebih sulit bagi sistem keamanan untuk mendeteksi dan memblokir.

Jika otoritas menutup satu server perintah, penyerang cukup mengirim email baru dengan alamat server yang diperbarui. Malware memeriksa email, mengekstrak lokasi server baru, dan terus beroperasi. Sistem berbasis email ini membantu malware mempertahankan persistensi dan menghindari penutupan tingkat jaringan.

Trojan ini juga hanya aktif pada komputer yang menggunakan bahasa Portugis Brasil sebagai bahasa sistem. Jika mendeteksi bahasa lain, malware segera menghentikan dirinya. Penargetan yang sangat fokus ini membantu penyerang menghindari peneliti keamanan dan memfokuskan sumber daya pada korban yang dituju.

Kampanye Terkait dan Ancaman Lebih Luas

Peneliti keamanan telah melacak beberapa kampanye terkait yang menargetkan pengguna Brasil melalui WhatsApp. Pada September 2025, Trend Micro mengidentifikasi kampanye bernama Water Saci yang menyebarkan malware bernama SORVEPOTEL. Kampanye ini menginfeksi organisasi pemerintah, perusahaan manufaktur, dan institusi pendidikan di seluruh Brasil.

Trojan perbankan lain bernama Maverick juga telah menyebar melalui WhatsApp sejak awal 2025. Kampanye-kampanye ini berbagi teknik serupa, termasuk pembajakan WhatsApp dan menargetkan institusi keuangan Brasil.

Kampanye Eternidade Stealer mewakili evolusi dari ancaman-ancaman sebelumnya. Penyerang beralih dari skrip PowerShell ke pemrograman Python, membuat worm mereka lebih efisien dalam menyebar melalui kontak WhatsApp. Mereka juga menambahkan sistem perintah berbasis email inovatif yang membuat malware lebih sulit untuk dimatikan.

Log keamanan dari infrastruktur aktor ancaman sendiri mengungkapkan jangkauan global yang mengejutkan. Sementara malware menargetkan Brasil secara khusus, upaya koneksi datang dari 38 negara berbeda. Amerika Serikat menunjukkan jumlah koneksi tertinggi dengan 196 upaya, diikuti oleh Belanda, Jerman, dan Inggris.

Langkah Perlindungan untuk Pengguna dan Organisasi

Pengguna WhatsApp harus sangat berhati-hati dengan tautan apa pun yang diterima melalui aplikasi, bahkan dari kontak tepercaya. Jika seseorang mengirim tautan tak terduga dengan konteks terbatas, verifikasi melalui saluran komunikasi berbeda sebelum mengklik.

Pakar keamanan merekomendasikan beberapa langkah perlindungan. Jaga semua perangkat lunak dan sistem operasi tetap diperbarui untuk menambal kerentanan yang mungkin dieksploitasi malware. Instal perangkat lunak antivirus terpercaya yang dapat mendeteksi dan memblokir file berbahaya. Bersikap sangat curiga terhadap pesan tentang program pemerintah, notifikasi pengiriman, atau peluang investasi yang datang secara tak terduga.

Jika seseorang mencurigai akun mereka telah disusupi, tindakan segera sangat penting. Bekukan akses ke semua akun perbankan dan cryptocurrency segera. Hubungi institusi keuangan dan bursa untuk melaporkan pelanggaran. Pantau semua transaksi dengan cermat, karena ini dapat membantu otoritas melacak dana yang dicuri dan berpotensi membekukan dompet peretas.

Organisasi menghadapi tanggung jawab tambahan dalam melindungi jaringan mereka. Administrator IT harus mengkonfigurasi perangkat perusahaan untuk menonaktifkan unduhan otomatis media dan dokumen di WhatsApp. Gunakan keamanan endpoint dan kebijakan firewall untuk membatasi transfer file melalui aplikasi pesan pribadi di komputer kerja.

Ancaman serangan dompet kripto yang berkembang meluas melampaui Brasil. Kampanye malware serupa telah menargetkan pengguna di seluruh dunia, dengan penyerang terus mengembangkan teknik baru untuk mencuri aset digital. Dompet perangkat keras yang memerlukan konfirmasi fisik transaksi tetap menjadi opsi paling aman untuk menyimpan cryptocurrency.

Lanskap kripto Brasil yang berkembang menjadikannya target yang semakin menarik. Negara ini mempertimbangkan untuk menambahkan Bitcoin ke cadangan nasional dan menerapkan regulasi stablecoin yang komprehensif, perkembangan yang menandakan adopsi arus utama yang berkembang. Aktivitas yang meningkat ini secara alami menarik lebih banyak perhatian dari penjahat siber yang berusaha mengeksploitasi pengguna.

Perlombaan Senjata Digital Berlanjut

Kampanye Eternidade Stealer menunjukkan bagaimana penjahat siber dengan cepat mengadaptasi taktik mereka untuk mengeksploitasi platform populer seperti WhatsApp. Penggunaan sistem perintah berbasis email dan penyaringan geografis yang sangat ditargetkan menunjukkan keamanan operasional yang canggih. Seiring pasar kripto Brasil terus berkembang, pengguna harus tetap waspada terhadap serangan rekayasa sosial yang berkembang yang memanfaatkan kepercayaan dalam alat komunikasi sehari-hari. Pertahanan terbaik menggabungkan skeptisisme sehat terhadap pesan tak terduga, perangkat lunak keamanan yang kuat, dan protokol respons segera ketika kompromi terjadi.