Netcrook Logo
👤 SECPULSE
🗓️ 21 Nov 2025   🌍 South America

Au cœur de la peste “Éternité” : comment un cheval de Troie WhatsApp ingénieux dévore les portefeuilles numériques du Brésil

Un ver sophistiqué, déguisé en message amical sur WhatsApp, déferle sur le Brésil, récoltant des identifiants bancaires et déjouant les cyberdéfenseurs grâce à une ruse locale.

En bref

  • Plus de 10 000 systèmes brésiliens ont été infectés par le cheval de Troie Eternidade (“Éternité”).
  • Le malware se propage via WhatsApp, se faisant passer pour des messages de contacts réels.
  • Il cible les utilisateurs de services bancaires, de cryptomonnaies et de fintech, volant leurs identifiants.
  • Le malware s’adapte aux tentatives de neutralisation en changeant son centre de commande via des instructions envoyées par e-mail.
  • Écrit en Python et Delphi, Eternidade est conçu sur mesure pour l’écosystème technologique brésilien.

Une nouvelle génération de parasite numérique

Imaginez un parasite numérique, non pas déchaîné à l’aveugle, mais opérant avec une précision chirurgicale - s’infiltrant dans votre boîte de réception WhatsApp, vous saluant par votre prénom, imitant la chaleur de vos amis. C’est ainsi que le cheval de Troie Eternidade s’est insinué dans la vie de milliers de Brésiliens depuis la fin 2023. Son secret ? Une ingénierie sociale aussi locale qu’un bonjour matinal en portugais, et aussi personnelle qu’un message direct d’un contact de confiance.

Eternidade, qui signifie “Éternité”, n’est pas un malware ordinaire. Des chercheurs en sécurité de LevelBlue ont récemment infiltré son centre de commande, découvrant un réseau d’au moins 10 000 machines compromises. Contrairement aux vers mondiaux chaotiques du passé - comme les tristement célèbres ILOVEYOU ou Conficker - Eternidade cible spécifiquement, filtrant les discussions professionnelles et de groupe, pour se concentrer sur les échanges individuels, ceux qui inspirent le plus facilement la confiance.

De WhatsApp à votre portefeuille : les tactiques du cheval de Troie

L’attaque se déroule en deux actes. D’abord le ver, qui détourne la liste de contacts de la victime, envoyant des copies de lui-même à tous, sauf aux discussions professionnelles et de groupe. Chaque message de phishing est personnalisé, adaptant même la salutation à l’heure locale du destinataire. Cette touche humaine augmente considérablement les chances que des utilisateurs non méfiants cliquent sur le lien malveillant.

Une fois à l’intérieur, le second acte commence. Le cheval de Troie vérifie que l’ordinateur de la cible est bien configuré en portugais brésilien et qu’il ne fait pas partie d’un réseau professionnel ou de recherche - preuve que les attaquants ne veulent que des victimes locales authentiques. Il détecte les logiciels de sécurité, collecte des informations système et, si tout est conforme, déploie sa véritable charge utile : un voleur d’identifiants écrit en Delphi, un langage de programmation profondément ancré dans la formation informatique et la cybercriminalité brésiliennes.

Le voleur recherche les plateformes bancaires, crypto et fintech ouvertes - Banque du Brésil, Santander, Binance, Metamask, et bien d’autres. Lorsqu’il détecte qu’une victime visite l’une d’elles, le malware superpose une fausse fenêtre de connexion, piégeant les utilisateurs pour qu’ils livrent leurs identifiants sensibles.

Un malware conçu pour le Brésil - et pour durer

La conception technique d’Eternidade est aussi adaptative qu’insidieuse. Alors que la plupart des “droppers” brésiliens utilisent PowerShell (un outil de script intégré à Windows), les nouvelles variantes d’Eternidade sont écrites en Python, signe d’une ambition de s’étendre à Mac ou Linux à l’avenir. Son infrastructure de commande et de contrôle est particulièrement insaisissable : si les défenseurs ferment le serveur principal, le malware consulte simplement une adresse e-mail contrôlée par les attaquants pour recevoir de nouvelles instructions, permettant à l’opération de renaître en quelques heures.

Cette approche hyperlocale et flexible reflète une tendance plus large. Le Brésil, avec sa langue et son écosystème cyber uniques, sert depuis longtemps de terrain d’essai pour les malwares bancaires. Delphi, bien que considéré comme obsolète ailleurs, reste un favori des cybercriminels locaux - facile à apprendre, fiable et, surtout, peu détecté par les outils de sécurité mondiaux.

Alors que l’adoption de la banque numérique et des cryptomonnaies explose au Brésil, l’ingéniosité de ses cybercriminels progresse tout autant. Eternidade est la dernière - et peut-être la plus rusée - arme de leur arsenal.

Dans un monde où la confiance peut être instrumentalisée et où la technologie évolue plus vite que les défenses, Eternidade rappelle froidement ceci : parfois, les menaces les plus dangereuses arrivent avec un simple “bom dia” et un nom familier. La frontière entre ami et ennemi dans votre boîte de réception n’a jamais été aussi mince.

WIKICROOK

  • Cheval de Troie : Un cheval de Troie est un logiciel malveillant déguisé en application légitime, conçu pour tromper les utilisateurs afin qu’ils l’installent et qu’il puisse voler des données ou endommager les appareils.
  • Ver : Un ver est un malware auto-répliquant qui se propage sur les réseaux sans intervention de l’utilisateur, exploitant des vulnérabilités pour infecter plusieurs ordinateurs.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, pour lui faire exécuter des actions spécifiques, parfois à des fins malveillantes.
  • Hameçonnage : L’hameçonnage est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Dropper : Un dropper est un type de malware qui installe secrètement d’autres programmes malveillants sur un appareil infecté, aidant les attaquants à contourner les mesures de sécurité.
Eternidade Trojan Brazil malware phishing attack
SECPULSE SECPULSE
SOC Detection Lead
← Back to news