币态网根据Trustwave旗下SpiderLabs的最新研究,巴西的加密货币用户需警惕一场复杂的黑客行动,该行动通过WhatsApp消息传播恶意软件,包括劫持型蠕虫和银行木马。
SpiderLabs指出,这种被称为“Eternidade Stealer”的银行木马通过社交工程手法在WhatsApp等消息应用中传播,常见的诱骗手段包括“虚假政府项目、快递通知”、朋友的信息和虚假的投资群组。
研究员Nathaniel Morales、John Basmayor和Nikita Kazymirskyi强调:“WhatsApp仍然是巴西网络犯罪生态系统中最常被滥用的通信渠道之一。过去两年,威胁行为者不断优化策略,利用该平台的广泛使用传播银行木马和信息窃取类恶意软件。”
简而言之,点击WhatsApp中的蠕虫链接会导致受害者同时感染蠕虫和银行木马。
该蠕虫会劫持用户的账号并获取联系人列表,采用“智能过滤”功能,自动忽略企业联系人及群组,更有效地针对个人联系人进行传播。
与此同时,银行木马会自动下载到受害设备,并在后台部署Eternidade Stealer,能够扫描金融数据和登录凭证,覆盖多家巴西本地银行、金融科技公司及加密交易所与钱包。
该恶意软件还采用了一种巧妙的方式来规避检测,它不使用固定的服务器地址,而是通过预设的Gmail账户检查新命令。这种方法使黑客能够通过发送新邮件来修改命令。
报告指出:“这种恶意软件的显著特点是使用硬编码凭证登录其电子邮件账户,从中检索C2服务器。这种方法有效地更新其C2,保持持久性,并在网络层面上规避检测。如果无法连接到电子邮件账户,它会使用硬编码的备用C2地址。”
根据加密分析平台Chainalysis的数据,巴西是拉丁美洲最大的加密货币采用国,并在该公司2025年全球加密货币采用指数前20名中排名第五。
该指数基于各国对不同类型加密服务的使用情况,并考虑了人口规模和购买力等因素。
如何保障安全
对于WhatsApp等应用的用户来说,收到的任何链接都应保持高度警惕,即使发件人看似可信。
一个实用的做法是在其他应用中单独联系对方确认链接的安全性,特别是对于突如其来的且缺乏背景说明的链接要格外小心。
及时更新软件有助于防范针对旧版本的漏洞攻击,同时杀毒软件也可能帮助发现潜在问题。
若不幸遭遇黑客攻击,应立即冻结所有可能访问银行及加密服务的入口,以阻止资金流失。同时追踪资金流向,有助于交易所、研究人员或执法机构定位资产去向,从而协助冻结黑客钱包。
