GANA Payment, una società brasiliana di pagamenti digitali che supporta le transazioni in criptovalute, ha confermato una violazione che ha causato una perdita di oltre 3 milioni di dollari. L’azienda ha dichiarato che gli attaccanti hanno avuto accesso ai sistemi interni dopo aver preso di mira gli utenti con malware diffuso tramite WhatsApp. Secondo GANA Payment, l’incidente è iniziato quando individui hanno ricevuto messaggi che sembravano provenire da contatti affidabili e sono stati incoraggiati ad aprire link o file. Questi messaggi trasmettevano un tipo di malware che rubava credenziali noto come Eternidade Stealer. Una volta attivato su un dispositivo, il malware cercava di raccogliere informazioni collegate a portafogli, applicazioni bancarie e conti finanziari.
Gli investigatori hanno dichiarato che gli aggressori hanno utilizzato credenziali rubate per avviare trasferimenti e manipolare l’attività dei portafogli all’interno dell’ambiente aziendale. GANA Payment ha rilevato comportamenti irregolari e ha avviato una revisione interna per determinare la portata della violazione. L’azienda ha dichiarato di collaborare con le forze dell’ordine e specialisti esterni per rintracciare i fondi rubati e identificare quanto diffuso il malware. I primi risultati suggeriscono che il ladro inoltrava anche messaggi alle liste dei contatti dei dispositivi infetti, il che ha contribuito ad ampliarne la portata. Questo comportamento ha reso la campagna più difficile da rilevare perché i messaggi sembravano provenire da individui familiari.
I ricercatori che hanno analizzato il malware hanno dichiarato che utilizza una tecnica semplice. Si basa sul contatto sociale e sulla fiducia all’interno delle applicazioni di messaggistica piuttosto che su difetti tecnici della piattaforma. Il messaggio iniziale incoraggia l’utente a scaricare un file o aprire un link, che attiva il ladro. Il malware raccoglie quindi le credenziali memorizzate e tenta di inviarsi ad altri contatti. Questo metodo è stato osservato in campagne passate e continua ad essere efficace perché gli utenti potrebbero non aspettarsi contenuti dannosi dai contatti personali.
GANA Payment opera in un settore che gestisce grandi volumi di transazioni ed è soggetto a tentativi di frode significativi. L’azienda consigliava agli utenti di aggiornare le proprie password, rivedere l’attività degli account e abilitare ulteriori passaggi di verifica per proteggere le informazioni finanziarie. Ha inoltre avvertito che le persone dovrebbero essere caute nel ricevere messaggi che incoraggiano il download di file o applicazioni, anche se il mittente appare familiare. Poiché le chiavi e i codici di accesso del portafoglio digitale possono essere memorizzati su dispositivi personali, la compromessa di un singolo dispositivo può avere conseguenze più ampie.
Gli specialisti della sicurezza hanno detto che l’incidente mostra come le applicazioni di messaggistica possano essere utilizzate per supportare attacchi a motivazione finanziaria. Le piattaforme di messaggistica collegano ampie reti di amici, familiari e colleghi, creando opportunità per gli aggressori di diffondere rapidamente contenuti dannosi. Quando il malware si basa sulla fiducia personale, può raggiungere utenti che normalmente non interagirebbero con siti web o email sospetti. Questo rende importante per le società di pagamento e i fornitori di portafogli considerare come le abitudini di comunicazione al di fuori dei propri sistemi possano influire sulla sicurezza.
Gli osservatori del settore si aspettano un interesse continuo da parte dei regolatori mentre le violazioni legate alle criptovalute attirano l’attenzione pubblica. Casi come GANA Payment evidenziano come dispositivi personali, messaggistica social e piattaforme finanziarie si intersecano. I regolatori potrebbero esaminare se siano necessarie ulteriori indicazioni per le aziende che elaborano asset digitali o si affidano alle interazioni basate su dispositivi mobili. Per gli utenti, l’incidente rafforza la necessità di restare attenti ai file non richiesti, di abilitare funzionalità di autenticazione più forti e di monitorare gli account per attività insolite.