巴西面臨針對加密貨幣和銀行應用的WhatsApp蠕蟲攻擊激增

在巴西，一種新發現的基於WhatsApp的蠕蟲和木馬活動正在通過一種迅速傳播的惡意軟件集羣，名爲Eternidade，破壞加密錢包和銀行帳號。

研究人員識別出新的多階段威脅

巴西的加密用戶被警告關於一種新興的惡意軟件操作，該操作利用WhatsApp劫持來傳播旨在收集金融憑證的銀行木馬。Trustwave SpiderLabs的研究人員披露，這一活動圍繞着一種新識別的竊取工具——Eternidade，這是一種基於Delphi的惡意軟件，能夠動態更新其指揮和控制基礎設施，並悄悄收集受害者的數據。

研究人員Nathaniel Morales、John Basmayor和Nikita Kazymirskyi指出，WhatsApp在巴西的網路犯罪生態系統中仍然佔據中心地位，表示，

“WhatsApp仍然是巴西網路犯罪生態系統中被利用最多的通信渠道之一。在過去兩年中，威脅行爲者已經完善了他們的戰術，利用該平台的巨大受歡迎程度來傳播銀行木馬和信息竊取惡意軟件。”

感染鏈是如何工作的

根據研究團隊的說法，正在進行的操作始於通過WhatsApp發送的社會工程消息。這些誘餌模仿熟悉的格式，例如送貨通知、欺詐投資羣組和“假政府項目”，以欺騙收件人點擊惡意連結。

一旦點擊，該連結觸發了劫持蠕蟲和Eternidade銀行木馬的部署。蠕蟲立即控制受害者的WhatsApp帳號，提取聯繫人列表，並使用“智能過濾”有選擇性地針對個人聯繫人，繞過商業羣組，以最大化個人互動的可能性。

與此同時，一個特洛伊文件在設備上悄悄下載。該組件在後臺安裝了Eternidade Stealer，使攻擊者能夠掃描與主要巴西銀行、金融科技平台以及加密貨幣交易所和錢包相關的憑據。

通過Gmail進行自適應指揮和控制

該活動最重要的特徵之一是其非傳統的接收更新指令的方法。Eternidade並不依賴靜態服務器地址，而是使用硬編碼的憑證通過IMAP登入Gmail帳號。這使得攻擊者只需通過電子郵件發送更新指令到被控帳號。

研究人員在他們的報告中強調了這項技術：

“這款惡意軟件的一個顯著特徵是，它使用硬編碼的憑據登入到其郵箱帳號，從中檢索其C2服務器。這是一種非常巧妙的方式來更新其C2，保持持久性，並在網路層面避開檢測或關閉。如果惡意軟件無法連接到郵箱帳號，它會使用硬編碼的備用C2地址。”

相關惡意軟件活動

Eternidade 操作緊隨另一個以巴西爲重點的惡意軟件浪潮 Water Saci 之後，後者使用名爲 SORVEPOTEL 的 WhatsApp Web 蠕蟲來分發 Maverick，這是一種基於 .NET 的銀行木馬，與早期的 Coyote 惡意軟件變種有關。這些事件突出了該地區一個持續的趨勢：使用 WhatsApp 作爲主要傳播媒介，以及對基於 Delphi 的工具在惡意軟件開發中的持續依賴。

安全建議

安全專家建議WhatsApp用戶避免點擊不熟悉的連結，即使是由可信聯繫人發送的。建議通過其他溝通渠道確認可疑消息，特別是在連結伴隨的上下文很少時。

免責聲明：本文僅供參考。它並不是法律、稅務、投資、金融或其他建議的提供或意圖使用。