巴西面临针对加密货币和银行应用的WhatsApp蠕虫攻击激增

在巴西，一种新发现的基于WhatsApp的蠕虫和木马活动正在通过一种迅速传播的恶意软件集群，名为Eternidade，破坏加密钱包和银行账号。

研究人员识别出新的多阶段威胁

巴西的加密用户被警告关于一种新兴的恶意软件操作，该操作利用WhatsApp劫持来传播旨在收集金融凭证的银行木马。Trustwave SpiderLabs的研究人员披露，这一活动围绕着一种新识别的窃取工具——Eternidade，这是一种基于Delphi的恶意软件，能够动态更新其指挥和控制基础设施，并悄悄收集受害者的数据。

研究人员Nathaniel Morales、John Basmayor和Nikita Kazymirskyi指出，WhatsApp在巴西的网络犯罪生态系统中仍然占据中心地位，表示，

“WhatsApp仍然是巴西网络犯罪生态系统中被利用最多的通信渠道之一。在过去两年中，威胁行为者已经完善了他们的战术，利用该平台的巨大受欢迎程度来传播银行木马和信息窃取恶意软件。”

感染链是如何工作的

根据研究团队的说法，正在进行的操作始于通过WhatsApp发送的社会工程消息。这些诱饵模仿熟悉的格式，例如送货通知、欺诈投资群组和“假政府项目”，以欺骗收件人点击恶意链接。

一旦点击，该链接触发了劫持蠕虫和Eternidade银行木马的部署。蠕虫立即控制受害者的WhatsApp账号，提取联系人列表，并使用“智能过滤”有选择性地针对个人联系人，绕过商业群组，以最大化个人互动的可能性。

与此同时，一个特洛伊文件在设备上悄悄下载。该组件在后台安装了Eternidade Stealer，使攻击者能够扫描与主要巴西银行、金融科技平台以及加密货币交易所和钱包相关的凭据。

通过Gmail进行自适应指挥和控制

该活动最重要的特征之一是其非传统的接收更新指令的方法。Eternidade并不依赖静态服务器地址，而是使用硬编码的凭证通过IMAP登录Gmail账号。这使得攻击者只需通过电子邮件发送更新指令到被控账号。

研究人员在他们的报告中强调了这项技术：

“这款恶意软件的一个显著特征是，它使用硬编码的凭据登录到其邮箱账号，从中检索其C2服务器。这是一种非常巧妙的方式来更新其C2，保持持久性，并在网络层面避开检测或关闭。如果恶意软件无法连接到邮箱账号，它会使用硬编码的备用C2地址。”

相关恶意软件活动

Eternidade 操作紧随另一个以巴西为重点的恶意软件浪潮 Water Saci 之后，后者使用名为 SORVEPOTEL 的 WhatsApp Web 蠕虫来分发 Maverick，这是一种基于 .NET 的银行木马，与早期的 Coyote 恶意软件变种有关。这些事件突出了该地区一个持续的趋势：使用 WhatsApp 作为主要传播媒介，以及对基于 Delphi 的工具在恶意软件开发中的持续依赖。

安全建议

安全专家建议WhatsApp用户避免点击不熟悉的链接，即使是由可信联系人发送的。建议通过其他沟通渠道确认可疑消息，特别是在链接伴随的上下文很少时。

免责声明：本文仅供参考。它并不是法律、税务、投资、金融或其他建议的提供或意图使用。