Edgen Crypto·Nov 20 2025, 02:54一项针对巴西的、名为Eternidade Stealer的新型复杂恶意软件活动正通过WhatsApp积极传播,旨在窃取主要金融机构和加密货币平台的登录凭据。这标志着该地区网络威胁的显著升级,它利用无处不在的消息应用程序进行快速、大规模传播。
网络安全研究人员发现巴西出现了一种新型的、攻击性强的恶意软件活动,涉及一种名为Eternidade Stealer的银行木马。该恶意软件正通过WhatsApp迅速传播,旨在窃取巴西目标银行、金融科技公司和主要加密货币交易所的登录凭据。来自Trustwave SpiderLabs、BlueVoyant和Trend Research等公司的分析表明,此次活动代表了巴西网络犯罪集团所用策略的演变,他们正日益利用流行的通信平台执行大规模攻击。
攻击始于社会工程,用户被诱骗从WhatsApp消息中下载一个ZIP存档。该存档包含一个恶意的快捷方式文件(.lnk),而非直接的可执行文件。打开后,此快捷方式会运行一个混淆的命令,下载并执行主要有效载荷。该恶意软件是一个受ArmDot保护的.NET下载器,随后会将shellcode注入到powershell_ise.exe进程中。这使其能够隐蔽运行。其最有效的特征是其自我传播机制;该恶意软件利用受害者的活动WhatsApp会话,自动将恶意ZIP文件分发给所有联系人和群组,确保快速广泛的感染。
Eternidade Stealer的主要目标是窃取凭据。该恶意软件主动监控受害者系统,查找与特定金融应用程序相关的进程名称或窗口标题。当检测到匹配项时,它会激活其数据窃取功能。明确的目标实体包括巴西主要银行Bradesco和BTG Pactual,以及全球加密货币平台Binance和Coinbase,以及流行的软件钱包MetaMask和Trust Wallet。这种广泛的定位表明,其战略目标是损害巴西数字金融生态系统的广泛部分。
将WhatsApp用作主要分发媒介是一个重要的市场发展。它利用了该平台的普遍性以及用户对其联系人消息的固有信任,使得该恶意软件在传播方面异常有效。此次攻击对客户资产构成直接威胁,并侵蚀了人们对巴西传统银行和新兴加密货币行业安全性的信任。对于目标机构而言,此次活动代表着严重的声誉风险,并需要审查面向客户的安全协议和教育工作。
根据Trustwave SpiderLabs的分析,该恶意软件表现出显著的技术复杂性。它使用互联网消息访问协议(IMAP)动态检索命令和控制(C2)服务器地址,这种方法允许攻击者即时更新基础设施,并使移除工作复杂化。BlueVoyant的研究人员跟踪了一个名为“Maverick”的类似活动,该活动也使用WhatsApp进行分发,并采用巴西特定的地理围栏,这表明对手纪律严明且目标明确。该恶意软件注入进程的能力及其自定义解密例程凸显了威胁的活跃性和演变性。
此次活动是巴西日益复杂的金融恶意软件趋势的一部分。它继承了此前木马(如2016年首次出现的Grandoreiro)的特点。安全分析师指出,该地区的犯罪开发集团经常共享代码,导致快速改进和新功能的添加。从粗糙的木马演变为像Eternidade Stealer这样复杂、自我传播的恶意软件,凸显了巴西网络犯罪格局的成熟,并对全球金融系统构成了持续增长的威胁。