WhatsApp蠕虫在巴西传播银行木马，瞄准加密钱包

该活动使用一种名为Eternidade Stealer的银行木马，专门针对拉丁美洲最大数字资产市场的加密钱包和金融登录信息。

攻击如何运作

该恶意软件通过WhatsApp传播，使用两个主要组件：自我复制蠕虫和银行木马。当受害者点击通过WhatsApp发送的恶意链接时，会触发自动序列，劫持他们的账户并在后台下载有害软件。

Trustwave SpiderLabs研究人员于2025年11月发现了这一活动。研究人员指出，威胁行为者使用虚假政府计划、送货通知和欺诈性投资群组来诱骗人们点击恶意链接。

蠕虫组件劫持WhatsApp账户并访问联系人列表。它使用智能过滤来忽略商业联系人和群组，而是专注于更可能落入骗局的个人。恶意软件随后会自动向每个联系人发送个性化消息，使用他们的真实姓名和适合时间的葡萄牙语问候语。

来源：trustwave.com

同时，银行木马悄悄地安装在受害者的设备上。这个Eternidade Stealer会扫描计算机上运行的金融应用程序和加密钱包。当它检测到银行应用程序或加密货币交易所时，恶意软件会立即激活并开始窃取登录凭证。

目标金融服务和加密平台

该恶意软件针对广泛的巴西金融机构，包括Bradesco、BTG Pactual、Itaú、Santander和Caixa Econômica Federal等主要银行。MercadoPago和Stripe等支付服务也在目标列表上。

对于加密货币用户来说，威胁尤为严重。该恶意软件寻找来自Binance、Coinbase、Kraken和众多其他交易所的凭证。它还针对流行的加密钱包，如MetaMask、Trust Wallet、Exodus、Ledger Live和Phantom Wallet等。

由于其显著的加密货币采用率，巴西成为网络犯罪分子的一个有吸引力的目标。该国在Chainalysis加密货币采用指数中全球排名第五，在2024年中至2025年中期间处理了约3190亿美元的加密货币交易。

高级规避技术

使Eternidade Stealer特别危险的是其避免被检测的巧妙方法。与连接到固定服务器地址的典型恶意软件不同，这种木马使用电子邮件账户接收黑客的指令。

该恶意软件包含硬编码的Gmail账户登录凭证。它使用标准电子邮件协议(IMAP)连接到这些账户以检查新命令。这种方法与正常电子邮件流量混合，使安全系统更难检测和阻止。

如果当局关闭一个命令服务器，攻击者只需发送一封包含更新服务器地址的新电子邮件。恶意软件检查电子邮件，提取新的服务器位置，并继续运行。这种基于电子邮件的系统帮助恶意软件保持持久性并逃避网络级别的关闭。

该木马还只在使用巴西葡萄牙语作为系统语言的计算机上激活。如果它检测到任何其他语言，恶意软件会立即终止自己。这种超专注的定位帮助攻击者避开安全研究人员并将资源集中在其预期受害者上。

相关活动和更广泛的威胁

安全研究人员已经追踪了多个通过WhatsApp针对巴西用户的相关活动。2025年9月，趋势科技识别了一个名为Water Saci的活动，传播名为SORVEPOTEL的恶意软件。这一活动感染了巴西各地的政府组织、制造公司和教育机构。

另一个名为Maverick的银行木马自2025年初以来也一直通过WhatsApp传播。这些活动共享类似的技术，包括劫持WhatsApp和针对巴西金融机构。

Eternidade Stealer活动代表了这些早期威胁的演变。攻击者从PowerShell脚本转向Python编程，使其蠕虫更有效地通过WhatsApp联系人传播。他们还添加了创新的基于电子邮件的命令系统，使恶意软件更难被关闭。

来自威胁行为者自己基础设施的安全日志显示了令人惊讶的全球覆盖范围。虽然恶意软件专门针对巴西，但连接尝试来自38个不同国家。美国显示最高连接数，有196次尝试，其次是荷兰、德国和英国。

用户和组织的保护步骤

WhatsApp用户应对通过应用程序收到的任何链接保持极度谨慎，即使是来自受信任的联系人。如果有人发送一个意外的链接且上下文有限，在点击之前通过不同的通信渠道进行验证。

安全专家推荐几种保护措施。保持所有软件和操作系统更新以修补恶意软件可能利用的漏洞。安装信誉良好的防病毒软件，可以检测和阻止恶意文件。对于意外收到的关于政府计划、送货通知或投资机会的消息要特别警惕。

如果有人怀疑自己的账户已被入侵，立即采取行动至关重要。立即冻结所有银行和加密货币账户的访问。联系金融机构和交易所报告违规情况。密切监控所有交易，因为这可以帮助当局追踪被盗资金并可能冻结黑客钱包。

组织在保护其网络方面面临额外的责任。IT管理员应配置企业设备以禁用WhatsApp上的媒体和文档自动下载。使用端点安全和防火墙策略限制通过工作计算机上的个人消息应用程序传输文件。

加密钱包攻击的日益增长的威胁已超出巴西范围。类似的恶意软件活动已针对全球用户，攻击者不断开发新技术来窃取数字资产。需要物理确认交易的硬件钱包仍然是存储加密货币的最安全选择。

巴西不断发展的加密货币环境使其成为一个越来越有吸引力的目标。该国正在考虑将比特币添加到国家储备中并实施全面的稳定币法规，这些发展标志着主流采用的增长。这种增加的活动自然会吸引更多寻求利用用户的网络犯罪分子的注意。

数字军备竞赛继续

Eternidade Stealer活动展示了网络犯罪分子如何迅速调整其策略以利用WhatsApp等流行平台。他们使用基于电子邮件的命令系统和超目标地理过滤显示了复杂的操作安全性。随着巴西加密市场的持续增长，用户必须对利用日常通信工具信任的不断发展的社会工程攻击保持警惕。最佳防御结合了对意外消息的健康怀疑、强大的安全软件和发生入侵时的即时响应协议。