エグゼクティブサマリー
サイバーセキュリティ研究者は、Eternidade Stealerというバンキングトロイの木馬を含む、ブラジルにおける新たな積極的なマルウェアキャンペーンを特定しました。このマルウェアはWhatsAppを通じて急速に拡散されており、標的となるブラジルの銀行、フィンテック企業、主要な暗号通貨取引所からログイン認証情報を盗むように設計されています。Trustwave SpiderLabs、BlueVoyant、Trend Researchなどの企業からの分析によると、このキャンペーンはブラジルのサイバー犯罪グループが使用する戦術の進化を表しており、大規模な攻撃を実行するために人気のコミュニケーションプラットフォームをますます利用しています。
イベントの詳細
攻撃はソーシャルエンジニアリングから始まり、ユーザーはWhatsAppメッセージからZIPアーカイブをダウンロードするよう騙されます。このアーカイブには、直接実行可能なファイルではなく、悪意のあるショートカットファイル(.lnk)が含まれています。開かれると、このショートカットは難読化されたコマンドを実行し、主要なペイロードをダウンロードして実行します。ArmDotによって保護された.NETダウンローダーであるこのマルウェアは、その後powershell_ise.exeプロセスにシェルコードを注入します。これにより、ある程度のステルス性を持って動作できます。その最も効果的な機能は自己増殖メカニズムです。このマルウェアは、被害者のアクティブなWhatsAppセッションを利用して、悪意のあるZIPファイルをすべての連絡先とグループに自動的に配布し、迅速かつ広範な感染を確実にします。
財務メカニズムと標的
Eternidade Stealerの主な目的は、認証情報の窃取です。このマルウェアは、特定の金融アプリケーションに関連するプロセス名やウィンドウタイトルを監視するために、被害者のシステムを積極的に監視します。一致が検出されると、データ窃取機能を有効にします。明確に標的とされているエンティティには、主要なブラジル銀行であるBradescoとBTG Pactualに加え、グローバルな暗号通貨プラットフォームであるBinanceとCoinbase、そして人気のソフトウェアウォレットであるMetaMaskとTrust Walletが含まれます。この広範な標的設定は、ブラジルのデジタル金融エコシステムの広範囲を侵害するための戦略的な取り組みを示しています。
市場への影響
WhatsAppを主要な配布経路として使用することは、市場にとって重要な進展です。プラットフォームの普及と、ユーザーが連絡先からのメッセージに抱く固有の信頼を利用することで、このマルウェアは拡散において非常に効果的です。この攻撃は、顧客資産に対する直接的な脅威となり、ブラジルにおける従来の銀行業務および新興の暗号通貨セクターのセキュリティに対する信頼を損ないます。標的となった機関にとって、このキャンペーンは深刻な評判リスクを表しており、顧客向けのセキュリティプロトコルと教育活動の見直しが必要です。
専門家のコメント
Trustwave SpiderLabsの分析によると、このマルウェアは注目すべき技術的な洗練性を示しています。インターネットメッセージアクセスプロトコル(IMAP)を使用してコマンド&コントロール(C2)サーバーアドレスを動的に取得します。この方法は、攻撃者がインフラストラクチャをその場で更新し、テイクダウンの取り組みを複雑にすることを可能にします。BlueVoyantの研究者は、「Maverick」と呼ばれる同様のキャンペーンを追跡しており、これもWhatsAppを配布に利用し、ブラジル固有のジオフェンシングを採用しており、規律と焦点を絞った敵対者を示唆しています。マルウェアのプロセス注入能力とカスタム復号ルーチンは、活動的で進化する脅威を強調しています。
より広い背景
このキャンペーンは、ブラジルを起源とするますます巧妙化する金融マルウェアのより大きなトレンドの一部です。これは、2016年に初めて登場したGrandoreiroのような以前のトロイの木馬の足跡をたどっています。セキュリティアナリストは、この地域の犯罪開発グループがしばしばコードを共有しており、それが迅速な改良と新機能の追加につながっていると指摘しています。粗野なトロイの木馬からEternidade Stealerのような複雑な自己増殖型マルウェアへの進化は、ブラジルのサイバー犯罪情勢の成熟を浮き彫りにし、世界の金融システムに対する持続的かつ増大する脅威を提示しています。
Edgen Crypto·Nov 20 2025, 02:54