Edgen Crypto·Nov 20 2025, 02:54一項針對巴西的、名為Eternidade Stealer的新型複雜惡意軟體活動正透過WhatsApp積極傳播,旨在竊取主要金融機構和加密貨幣平台的登入憑證。這標誌著該地區網路威脅的顯著升級,它利用無處不在的訊息應用程式進行快速、大規模傳播。
網路安全研究人員發現巴西出現了一種新型的、攻擊性強的惡意軟體活動,涉及一種名為Eternidade Stealer的銀行木馬。該惡意軟體正透過WhatsApp迅速傳播,旨在竊取巴西目標銀行、金融科技公司和主要加密貨幣交易所的登入憑證。來自Trustwave SpiderLabs、BlueVoyant和Trend Research等公司的分析表明,此次活動代表了巴西網路犯罪集團所用策略的演變,他們正日益利用流行的通訊平台執行大規模攻擊。
攻擊始於社會工程,使用者被誘騙從WhatsApp訊息中下載一個ZIP檔案。該檔案包含一個惡意的快捷方式檔案(.lnk),而非直接的可執行檔。開啟後,此快捷方式會執行一個混淆的命令,下載並執行主要有效負載。該惡意軟體是一個受ArmDot保護的.NET下載器,隨後會將shellcode注入到powershell_ise.exe進程中。這使其能夠隱蔽運行。其最有效的特徵是其自我傳播機制;該惡意軟體利用受害者的活動WhatsApp會話,自動將惡意ZIP檔案分發給所有聯絡人和群組,確保快速廣泛的感染。
Eternidade Stealer的主要目標是竊取憑證。該惡意軟體主動監控受害者系統,查找與特定金融應用程式相關的進程名稱或視窗標題。當偵測到匹配項時,它會啟動其資料竊取功能。明確的目標實體包括巴西主要銀行Bradesco和BTG Pactual,以及全球加密貨幣平台Binance和Coinbase,以及流行的軟體錢包MetaMask和Trust Wallet。這種廣泛的定位表明,其戰略目標是損害巴西數位金融生態系統的廣泛部分。
將WhatsApp用作主要分發媒介是一個重要的市場發展。它利用了該平台的普遍性以及使用者對其聯絡人訊息的固有信任,使得該惡意軟體在傳播方面異常有效。此次攻擊對客戶資產構成直接威脅,並侵蝕了人們對巴西傳統銀行和新興加密貨幣行業安全性的信任。對於目標機構而言,此次活動代表著嚴重的聲譽風險,並需要審查面向客戶的安全協議和教育工作。
根據Trustwave SpiderLabs的分析,該惡意軟體表現出顯著的技術複雜性。它使用網際網路訊息存取協定(IMAP)動態檢索命令和控制(C2)伺服器地址,這種方法允許攻擊者即時更新基礎設施,並使移除工作複雜化。BlueVoyant的研究人員追蹤了一個名為「Maverick」的類似活動,該活動也使用WhatsApp進行分發,並採用巴西特定的地理圍欄,這表明對手紀律嚴明且目標明確。該惡意軟體注入進程的能力及其自訂解密例程凸顯了威脅的活躍性和演變性。
此次活動是巴西日益複雜的金融惡意軟體趨勢的一部分。它繼承了此前木馬(如2016年首次出現的Grandoreiro)的特點。安全分析師指出,該地區的犯罪開發集團經常共享程式碼,導致快速改進和新功能的添加。從粗糙的木馬演變為像Eternidade Stealer這樣複雜、自我傳播的惡意軟體,凸顯了巴西網路犯罪格局的成熟,並對全球金融系統構成了持續增長的威脅。