Alerte WhatsApp : un virus siphonne des wallets crypto et des comptes en banque

Une campagne active au Brésil propage un malware via WhatsApp. Les chercheurs décrivent un ver qui détourne les sessions, s’auto-diffuse vers les contacts et déploie ensuite un trojan bancaire capable de viser banques et portefeuilles crypto. Le mode opératoire combine leurres en portugais, pièces jointes piégées et contrôle à distance depuis une infrastructure C2.

Comment l’infection démarre et se propage

D’abord, l’attaque prend appui sur un message WhatsApp contenant un fichier ZIP ou un raccourci .lnk présenté comme un reçu, un avis médical ou un document administratif. L’utilisateur ouvre, le script s’exécute, puis le code prend la main sur la session WhatsApp Web.

Il renvoie automatiquement le même fichier à la liste de contacts. La campagne se comporte alors comme un ver : chaque victime devient relais, ce qui accélère la diffusion.

Les rapports mentionnent un enchaînement technique en deux branches. Une charge Python orchestre la propagation via WhatsApp Web. Un installateur MSI dépose la brique voleur baptisée Eternidade Stealer. Les opérateurs mettent à jour les messages, récupèrent les carnets d’adresses et modulent les commandes à distance.

Le phénomène s’inscrit également dans une tendance plus large. Depuis octobre, plusieurs familles proches ciblent les utilisateurs brésiliens. Les chercheurs ont documenté des campagnes Maverick et Coyote qui détournent des navigateurs, abusent de WhatsApp Web et se désactivent parfois hors du Brésil . D’autres travaux décrivent SORVEPOTEL, un ver qui s’appuie sur WhatsApp pour atteindre postes domestiques et machines d’entreprises. WhatsApp est devenu un vecteur privilégié par des groupes bancaires locaux très outillés.

Ce que vole le trojan et pourquoi la crypto est une cible

Dans la phase suivante, la charge banque/crypto s’installe. Elle collecte des identifiants, cookies, OTP, et tente de forcer le navigateur via des injections web. Elle cherche aussi des phrases de récupération et des seeds liées aux wallets, y compris via des extensions.

L’objectif est clair. Vider des comptes bancaires quand la victime se reconnecte, et saisir des portefeuilles si une signature est facilitée par la session en cours. Les opérateurs exploitent la session et la confiance du carnet d’adresses pour contourner la vigilance initiale. Dans certains cas, ils récupèrent la liste des contacts et pilotent la diffusion en quasi temps réel depuis le centre de commande.

Les crypto-détenteurs brésiliens sont explicitement visés. Des alertes destinées au grand public soulignent la sophistication du ver et la présence d’un trojan bancaire derrière.

La chaîne se déroule vite. Un clic, une session compromise. Puis un effet domino sur les proches et collègues. La fragmentation des usages, entre applications desktop, extensions et mobiles, augmente la surface d’attaque. Les attaquants exploitent des templates d’ingénierie sociale crédibles, de la livraison de colis au faux message gouvernemental.

Indices d’infection et réflexes immédiats à adopter

Plusieurs signaux doivent alerter. Votre WhatsApp envoie des fichiers à vos contacts sans action de votre part. Le navigateur se met à afficher des pop-ups ou ralentit soudainement. L’antivirus remonte un script PowerShell/VBS inhabituel. Une extension inconnue apparaît.

Face à ces indices, il faut déconnecter WhatsApp Web sur tous les appareils. Puis changer les mots de passe bancaires et crypto depuis un ordinateur sain, supprimer les sessions actives sur wallets et plateformes, et restaurer à partir d’une sauvegarde si nécessaire.

Les équipes IT doivent compléter par une recherche d’indicateurs de compromission, un nettoyage et une revue des règles mail et navigateur. Ces mesures coupent la propagation, assainissent l’environnement et limitent l’exfiltration.

Pour la suite, la prévention reste déterminante. Éviter, tout d’abord, l’ouverture de fichiers ZIP reçus par WhatsApp, même s’ils viennent d’un contact connu. Vérifier l’origine des fichiers. Réactiver la vérification en deux étapes, et séparer l’ordinateur de trading ou de wallet des usages quotidiens. Les campagnes observées montrent que les attaquants bougent vite. La réactivité des utilisateurs fera la différence entre un incident mineur et une cascades de compromissions.

Pour aller plus loin sur le sujet :

• Le Brésil va intégrer du Bitcoin dans ses réserves nationales
• Binance : comment sécuriser ses actifs en cas de vol d’appareil
• Pékin accuse Washington : 127 000 BTC « dérobés » lors d’un hack