巴西加密货币持有者的警示
巴西的加密货币持有者被敦促警惕一场复杂的黑客攻击活动,该活动涉及通过WhatsApp消息传播的劫持蠕虫和银行木马。根据Trustwave的网络安全研究团队SpiderLabs的一份新报告,这种名为“Eternidade Stealer”的银行木马通过社交工程手段在WhatsApp上进行传播,例如“虚假的政府项目、快递通知”、朋友的消息以及欺诈性投资群组。
SpiderLabs的研究人员Nathaniel Morales、John Basmayor和Nikita Kazymirskyi表示:“WhatsApp仍然是巴西网络犯罪生态系统中最常被利用的通信渠道之一。在过去两年中,威胁行为者不断完善他们的战术,利用该平台的巨大普及性来传播银行木马和信息窃取恶意软件。”
攻击机制
用通俗易懂的语言解释,点击WhatsApp中的蠕虫链接会引发一系列反应,使受害者同时感染蠕虫和银行木马。蠕虫会劫持账户并获取受害者的联系人列表。它利用“智能过滤”功能,忽略商业联系人和群组,针对个人联系人进行更高效的攻击。
与此同时,银行木马会自动下载到受害者设备上的文件,在后台部署Eternidade Stealer,能够扫描巴西多家银行、金融科技公司或加密货币交易所和钱包的财务数据和登录信息。
恶意软件的隐蔽性
该恶意软件还具有巧妙的方式来避免被检测或关闭。它并不使用固定的服务器地址,而是利用预设的Gmail账户通过电子邮件检查新命令。这使得黑客能够通过发送新邮件来更改命令。
报告指出:“该恶意软件的一个显著特征是,它使用硬编码的凭据登录其电子邮件账户,从中检索其C2服务器。这是一种非常巧妙的方式来更新其C2,保持持久性,并在网络层面上规避检测或关闭。如果恶意软件无法连接到电子邮件账户,它会使用硬编码的备用C2地址。”
保持安全的建议
如何保持安全:使用WhatsApp等应用程序的用户被建议在点击任何链接时保持谨慎,即使该链接来自可信的联系人。一个有用的策略是通过其他应用程序向他们发送消息,以确认链接是否安全,并对突然发送的、上下文有限的链接保持警惕。
保持软件更新也有助于保护用户免受针对旧版本的潜在漏洞,而防病毒软件也可能有助于标记问题。如果有人被黑客攻击,立即冻结所有可能的银行和加密服务访问点以阻止损失是非常重要的。追踪资金也可以帮助交易所、研究人员或当局追踪资产去向,可能有助于冻结黑客的钱包。
