WhatsApp 蠕蟲在巴西傳播銀行木馬，鎖定加密貨幣錢包

該活動使用一種名為 Eternidade Stealer 的銀行木馬，專門針對拉丁美洲最大數位資產市場的加密錢包和金融登入資訊。

攻擊如何運作

該惡意軟體透過 WhatsApp 使用兩個主要組件傳播：自我複製的蠕蟲和銀行木馬。當受害者點擊透過 WhatsApp 發送的惡意連結時，會觸發自動序列，劫持他們的帳戶並在背景下載有害軟體。

Trustwave SpiderLabs 研究人員於 2025 年 11 月識別出這個活動。研究人員指出，威脅行為者使用虛假政府計劃、配送通知和欺詐投資群組來誘騙人們點擊惡意連結。

蠕蟲組件會劫持 WhatsApp 帳戶並存取聯絡人列表。它使用智能過濾來忽略商業聯絡人和群組，而是專注於更可能落入騙局的個人。該惡意軟體隨後會自動向每個聯絡人發送個人化訊息，使用他們的真實姓名和適合時間的葡萄牙語問候語。

來源：trustwave.com

同時，銀行木馬悄悄地安裝在受害者的裝置上。這個 Eternidade Stealer 會掃描電腦上運行的金融應用程式和加密錢包。當它檢測到銀行應用程式或加密交易所時，惡意軟體會立即啟動並開始竊取登入憑證。

目標金融服務和加密平台

該惡意軟體針對廣泛的巴西金融機構，包括主要銀行如 Bradesco、BTG Pactual、Itaú、Santander 和 Caixa Econômica Federal。支付服務如 MercadoPago 和 Stripe 也在目標清單上。

對於加密貨幣用戶來說，威脅尤為嚴重。該惡意軟體尋找來自交易所的憑證，包括 Binance、Coinbase、Kraken 和許多其他交易所。它還針對流行的加密錢包，如 MetaMask、Trust Wallet、Exodus、Ledger Live 和 Phantom Wallet 等多種錢包。

巴西因其顯著的加密貨幣採用率而成為網絡犯罪分子的吸引目標。該國在 Chainalysis 加密貨幣採用指數中全球排名第五，並在 2024 年中至 2025 年中期間處理了約 3190 億美元的加密貨幣交易。

先進的規避技術

使 Eternidade Stealer 特別危險的是其避免被檢測的巧妙方法。與連接到固定伺服器地址的典型惡意軟體不同，這個木馬使用電子郵件帳戶接收黑客的指令。

該惡意軟體包含硬編碼的 Gmail 帳戶登入憑證。它使用標準電子郵件協議（IMAP）連接到這些帳戶以檢查新命令。這種方法與正常電子郵件流量混合，使安全系統更難檢測和阻止。

如果當局關閉一個命令伺服器，攻擊者只需發送一封包含更新伺服器地址的新電子郵件。惡意軟體檢查電子郵件，提取新的伺服器位置，並繼續運作。這種基於電子郵件的系統幫助惡意軟體保持持久性並逃避網絡級別的關閉。

該木馬還只在使用巴西葡萄牙語作為系統語言的電腦上啟動。如果它檢測到任何其他語言，惡意軟體會立即終止自己。這種超專注的目標定位幫助攻擊者避開安全研究人員並將資源集中在其預定受害者上。

相關活動和更廣泛的威脅

安全研究人員已經追蹤了多個通過 WhatsApp 針對巴西用戶的相關活動。在 2025 年 9 月，Trend Micro 識別了一個名為 Water Saci 的活動，傳播名為 SORVEPOTEL 的惡意軟體。這個活動感染了巴西各地的政府組織、製造公司和教育機構。

另一個名為 Maverick 的銀行木馬自 2025 年初以來也一直通過 WhatsApp 傳播。這些活動共享類似的技術，包括 WhatsApp 劫持和針對巴西金融機構。

Eternidade Stealer 活動代表了這些早期威脅的演變。攻擊者從 PowerShell 腳本轉向 Python 編程，使其蠕蟲更有效地通過 WhatsApp 聯絡人傳播。他們還添加了創新的基於電子郵件的命令系統，使惡意軟體更難被關閉。

來自威脅行為者自己基礎設施的安全日誌揭示了令人驚訝的全球影響範圍。雖然惡意軟體專門針對巴西，但連接嘗試來自 38 個不同國家。美國顯示最高連接數，有 196 次嘗試，其次是荷蘭、德國和英國。

用戶和組織的保護步驟

WhatsApp 用戶應對通過應用程式收到的任何連結保持極度謹慎，即使是來自信任的聯絡人。如果有人發送一個意外的連結且上下文有限，在點擊前通過不同的通信渠道進行驗證。

安全專家建議採取幾項保護措施。保持所有軟體和操作系統更新以修補惡意軟體可能利用的漏洞。安裝信譽良好的防毒軟體，可以檢測和阻止惡意文件。對於意外收到的關於政府計劃、配送通知或投資機會的訊息要特別警惕。

如果有人懷疑自己的帳戶已被入侵，立即採取行動至關重要。立即凍結所有銀行和加密貨幣帳戶的存取權限。聯繫金融機構和交易所報告違規情況。密切監控所有交易，因為這可以幫助當局追蹤被盜資金並可能凍結黑客錢包。

組織在保護其網絡方面面臨額外的責任。IT 管理員應配置企業設備以禁用 WhatsApp 上的媒體和文檔自動下載。使用端點安全和防火牆政策限制通過工作電腦上的個人訊息應用程式進行文件傳輸。

加密錢包攻擊的日益增長威脅已超出巴西範圍。類似的惡意軟體活動已針對全球用戶，攻擊者不斷開發新技術來竊取數位資產。需要物理確認交易的硬體錢包仍然是存儲加密貨幣最安全的選擇。

巴西不斷發展的加密貨幣環境使其成為越來越具吸引力的目標。該國正在考慮將 Bitcoin 添加到國家儲備並實施全面的穩定幣法規，這些發展標誌著主流採用的增長。這種增加的活動自然吸引了更多尋求利用用戶的網絡犯罪分子的注意。

數位軍備競賽持續進行

Eternidade Stealer 活動展示了網絡犯罪分子如何迅速調整其策略以利用 WhatsApp 等流行平台。他們使用基於電子郵件的命令系統和超目標地理過濾顯示了複雜的操作安全性。隨著巴西加密市場持續增長，用戶必須對利用日常通信工具信任的不斷演變的社會工程攻擊保持警惕。最佳防禦結合了對意外訊息的健康懷疑、強大的安全軟體和發生入侵時的即時響應協議。