據Trustwave旗下網路安全研究團隊SpiderLabs最新報告,巴西的加密貨幣持有者需警惕一場複雜的駭客行動,該行動通過WhatsApp消息傳播包含劫持型蠕蟲和銀行木馬的惡意軟體。
SpiderLabs表示,這款被稱為“Eternidade Stealer”的銀行木馬正通過社交工程手法在WhatsApp等消息應用上傳播,例如“虛假政府項目、快遞通知”、來自朋友的訊息以及虛假的投資群組。
SpiderLabs研究員Nathaniel Morales、John Basmayor和Nikita Kazymirskyi指出:“WhatsApp依然是巴西網路犯罪生態系統中被濫用最嚴重的通信渠道之一。過去兩年,威脅行為者不斷優化其策略,利用該平台極高的人氣分發銀行木馬和信息竊取類惡意軟體。”
通俗來說,在WhatsApp點擊蠕蟲鏈接會引發連鎖反應,使受害者同時感染蠕蟲和銀行木馬。
該蠕蟲會劫持帳號並獲取受害者聯絡人列表。它採用“智能過濾”功能,自動忽略企業聯絡人及群組,更高效地針對個人聯絡人進行傳播。
與此同時,銀行木馬會作為文件自動下載到受害設備,並在後台部署Eternidade Stealer,可以掃描金融數據及登入憑證,覆蓋多家巴西本地銀行、金融科技公司或加密交易所與錢包。
該惡意軟體還有一種巧妙的方法來避免被檢測或關閉。它不是使用固定的伺服器地址,而是利用預設的Gmail帳戶通過電子郵件檢查新命令。這使得駭客可以通過發送新郵件來更改命令。
“這種惡意軟體的一個顯著特點是它使用硬編碼憑證登入其電子郵件帳戶,從中檢索其C2伺服器。這是一種非常聰明的方法來更新其C2,保持持久性,並在網路層面上規避檢測或關閉。如果惡意軟體無法連接到電子郵件帳戶,它會使用硬編碼的備用C2地址,”報告中寫道。
根據加密分析平台Chainalysis的數據,巴西是拉丁美洲最大的加密貨幣採用國,並在該公司2025年全球加密貨幣採用指數前20名中排名第五。
該指數基於各國對不同類型加密服務的使用,並考慮了其他因素,包括人口規模和購買力。
如何保障安全
對於WhatsApp等應用用戶而言,對收到的任何鏈接都應保持高度警惕,即便發件人看似可信。
一個實用做法是在其他應用上單獨聯絡對方確認鏈接是否安全,對於突如其來且缺乏背景說明的鏈接要格外小心。
及時更新軟體有助於防範針對舊版本漏洞的攻擊,同時殺毒軟體也可能幫助發現潛在問題。
若不幸遭遇駭客攻擊,應立即凍結所有可能訪問銀行及加密服務的入口以阻止資金流失。同時追蹤資金流向,有助於交易所、研究人員或執法機構定位資產去向,從而協助凍結駭客錢包。