경영 요약
사이버 보안 연구원들은 Eternidade Stealer라는 이름의 뱅킹 트로이 목마와 관련된 브라질의 새롭고 공격적인 멀웨어 캠페인을 확인했습니다. 이 멀웨어는 WhatsApp을 통해 빠르게 유포되고 있으며, 브라질의 목표 은행, 핀테크 기업 및 주요 암호화폐 거래소에서 로그인 자격 증명을 훔치도록 설계되었습니다. Trustwave SpiderLabs, BlueVoyant, Trend Research를 포함한 기업들의 분석에 따르면, 이 캠페인은 브라질 사이버 범죄 집단이 사용하는 전술의 진화를 나타내며, 대규모 공격을 실행하기 위해 인기 있는 통신 플랫폼을 점점 더 활용하고 있습니다.
사건 상세
공격은 사회 공학으로 시작되며, 사용자는 WhatsApp 메시지에서 ZIP 아카이브를 다운로드하도록 유인됩니다. 이 아카이브에는 직접 실행 파일이 아닌 악성 바로 가기 파일(.lnk)이 포함되어 있습니다. 이 바로 가기를 열면 난독화된 명령이 실행되어 주요 페이로드를 다운로드하고 실행합니다. ArmDot으로 보호되는 .NET 다운로더인 이 멀웨어는 powershell_ise.exe 프로세스에 셸코드를 주입합니다. 이를 통해 어느 정도 은밀하게 작동할 수 있습니다. 가장 효과적인 기능은 자체 전파 메커니즘입니다. 이 멀웨어는 피해자의 활성 WhatsApp 세션을 사용하여 악성 ZIP 파일을 모든 연락처 및 그룹에 자동으로 배포하여 빠르고 광범위한 감염을 보장합니다.
재무 메커니즘 및 목표
Eternidade Stealer의 주요 목표는 자격 증명 도용입니다. 이 멀웨어는 특정 금융 애플리케이션과 관련된 프로세스 이름 또는 창 제목을 찾기 위해 피해자 시스템을 적극적으로 모니터링합니다. 일치하는 항목이 감지되면 데이터 도용 기능을 활성화합니다. 명시적으로 목표가 된 엔티티에는 브라질 주요 은행인 Bradesco와 BTG Pactual뿐만 아니라 글로벌 암호화폐 플랫폼인 Binance와 Coinbase, 그리고 인기 소프트웨어 지갑인 MetaMask와 Trust Wallet이 포함됩니다. 이러한 광범위한 목표 설정은 브라질 디지털 금융 생태계의 넓은 부분을 손상시키려는 전략적 노력을 나타냅니다.
시장 영향
WhatsApp을 주요 유포 매개체로 사용하는 것은 중요한 시장 발전입니다. 이 플랫폼의 보편성과 사용자가 연락처의 메시지에 대해 갖는 본질적인 신뢰를 활용하여 멀웨어가 전파되는 데 매우 효과적입니다. 이 공격은 고객 자산에 직접적인 위협을 가하고 브라질의 전통 은행 및 신흥 암호화폐 부문의 보안에 대한 신뢰를 약화시킵니다. 목표 기관의 경우, 이 캠페인은 심각한 평판 위험을 나타내며 고객 대면 보안 프로토콜 및 교육 노력에 대한 검토가 필요합니다.
전문가 의견
Trustwave SpiderLabs의 분석에 따르면, 이 멀웨어는 눈에 띄는 기술적 정교함을 보여줍니다. 인터넷 메시지 액세스 프로토콜(IMAP)을 사용하여 명령 및 제어(C2) 서버 주소를 동적으로 검색하는데, 이 방법은 공격자가 즉석에서 인프라를 업데이트하고 제거 노력을 복잡하게 만들 수 있도록 합니다. BlueVoyant의 연구원들은
Edgen Crypto·Nov 20 2025, 02:54