巴西提醒加密用户注意利用WhatsApp的新型恶意软件活动，部署劫持蠕虫

来源：CoinEdition 原标题：巴西警告加密货币用户关于新WhatsApp恶意软件运动，部署劫持蠕虫 原始链接：https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ 巴西当局和网络安全分析师对一种快速传播的恶意软件运动发出警报，该运动利用WhatsApp消息，通过自动化账户劫持和复杂的银行木马攻击加密货币用户。

该行动由Trustwave SpiderLabs的研究人员识别，将通过WhatsApp传播的蠕虫与被称为Eternidade Stealer的威胁工具关联，允许攻击者从感染设备中获取银行凭证、加密货币交易所登录信息和其他敏感财务信息。

研究人员追踪通过WhatsApp钓鱼的协调活动

据SpiderLabs的研究员Nathaniel Morales、John Basmayor和Nikita Kazymirskyi介绍，该运动依赖于模仿政府通知、快递更新、虚假投资群组，甚至朋友联系的社会工程消息。

一旦受害者点击恶意链接，蠕虫和银行木马会同时安装。蠕虫立即接管受害者的WhatsApp账户，提取联系人列表，并筛选出群组或商业号码，以优先进行一对一目标攻击。

在此过程中，伴随的木马会传输Eternidade Stealer载荷。恶意软件随后扫描系统，寻找与巴西银行平台、金融科技账户和加密服务（包括钱包和交易所）相关的凭证。研究人员指出，这种双阶段结构在巴西的网络犯罪生态系统中变得越来越常见，该生态系统曾利用WhatsApp进行过过去的运动，例如持续到2024年和2025年的Water Saci。

恶意软件利用Gmail命令检索以规避封锁

调查人员报告称，恶意软件通过使用预设的Gmail账户接收更新指令，以避免传统的网络关闭。它不依赖于固定的指挥控制（C2）服务器，而是登录硬编码的电子邮件地址，检查最新指令，只有在电子邮件无法联系时，才回退到静态的C2域名。SpiderLabs将此方法称为一种在减少被检测可能性的同时保持持续性的手段。

重定向面板数据揭示全球足迹

在基础设施映射过程中，分析师将最初的域名关联到一个托管多个威胁行为者面板的服务器，包括用于跟踪传入连接的重定向系统。在记录的453次访问中，有451次因地理限制被阻止，仅允许巴西和阿根廷访问。

然而，日志数据显示，来自38个国家的454次通信尝试，包括美国(196)、荷兰(37)、德国(32)、英国(23)和法国(19)。只有三次交互来自巴西。

该面板还记录了操作系统统计，显示40%的连接来自未识别的系统，其次是Windows(25%)、macOS(21%)、Linux(10%)和Android(4%)。调查人员表示，数据显示大多数交互发生在桌面环境中。