巴西提醒加密貨幣用戶注意新的 WhatsApp 惡意軟件活動，部署劫持蠕蟲

資料來源：CoinEdition 原文標題：巴西警告加密貨幣用戶注意新的WhatsApp惡意軟件攻擊活動，部署劫持蠕蟲 原始連結：https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ 巴西當局和網絡安全分析師對一個快速傳播的惡意軟件活動發出警報，該活動利用WhatsApp訊息針對加密貨幣用戶，通過自動帳號劫持和一個複雜的銀行木馬進行攻擊。

這一操作由Trustwave SpiderLabs的研究人員識別，將一個通過WhatsApp傳播的蠕蟲與一個名為Eternidade Stealer的威脅工具聯繫起來，使攻擊者能從感染的設備中獲取銀行憑證、加密貨幣交易所登錄信息及其他敏感財務資料。

研究人員追蹤基於WhatsApp的誘餌中的協同活動

根據SpiderLabs的研究人員Nathaniel Morales、John Basmayor和Nikita Kazymirskyi的說法，該活動依賴模仿政府通知、快遞更新、假投資群組或甚至朋友聯繫的社交工程訊息。

一旦受害者點擊惡意鏈接，蠕蟲和銀行木馬會同步安裝。蠕蟲立即攔截受害者的WhatsApp帳戶，提取聯絡人名單，並篩選出群組或商業號碼，以優先進行一對一攻擊。

在此過程中，伴隨的木馬會傳送Eternidade Stealer的有效負載。該惡意軟件隨後掃描系統，尋找與巴西銀行平台、金融科技帳戶和加密相關服務（包括錢包和交易所）相關的憑證。研究人員指出，這種雙階段結構在巴西的網絡犯罪生態系中越來越常見，過去曾利用WhatsApp進行活動，例如2024年至2025年的Water Saci。

惡意軟件利用Gmail為基礎的指令獲取來避開封鎖

調查人員報告稱，該惡意軟件通過預設的Gmail帳戶接收更新指令，避免傳統的網絡中斷。它不依賴固定的指揮控制（C2）伺服器，而是登入硬編碼的電子郵件地址，檢查最新指令，只有在電子郵件無法聯繫時才回退到靜態的C2域名。SpiderLabs稱此方法是為了維持持久性，同時降低被偵測的可能性。

轉向面板數據顯示全球足跡

在基礎設施映射過程中，分析師將最初的域名與一個伺服器連結，該伺服器托管多個威脅行動者的面板，包括用於追蹤來訪連接的轉向系統。在記錄的453次訪問中，因地理限制被封鎖了451次，只允許巴西和阿根廷的連接。

然而，日誌數據顯示，來自38個國家的454次通信嘗試，包括美國(196)、荷蘭(37)、德國(32)、英國(23)、法國(19)。只有三次來自巴西。

該面板還記錄了操作系統統計，顯示40%的連接來自未識別的系統，其次是Windows(25%)、macOS(21%)、Linux(10%)和Android(4%)。調查人員表示，數據顯示大多數互動來自桌面環境。