最近,在巴西爆發的一起重大網路安全事件!根據多個網路安全研究機構的報告,這起攻擊被稱為「WhatsApp蠕蟲」(WhatsApp worm)活動,主要利用WhatsApp訊息進行社會工程誘騙,快速傳播並竊取用戶的銀行和加密貨幣資訊。
事件於2025年11月中旬曝光,已影響數萬巴西用戶,尤其是加密貨幣愛好者。巴西作為拉丁美洲加密貨幣採用率最高國家(Chainalysis 2025全球指數排名第五),成為駭客首要目標。
最早相關攻擊可追溯到10月(類似Water Saci活動,使用SORVEPOTEL蠕蟲),但11月19-20日Trustwave SpiderLabs發布詳細報告後,事件迅速發酵。
WhatsApp在巴西使用率極高(超過99%行動用戶),加上加密採用率高,駭客利用社交信任加速傳播。
據當地媒體報道,已確認超過6萬受害者,主要集中在巴西的政府、公用事業、製造業、科技、教育和建築領域。加密錢包被盜導致資產大規模流失,駭客可能透過剪貼簿竊取私鑰或直接轉移資金。
攻擊原理分析:
1. 誘餌:受害者收到WhatsApp訊息,點擊惡意連結。
2. 劫持:蠕蟲使用WPPConnect自動化工具劫持帳戶,發送給聯絡人。
3. 安裝:背景下載Delphi-based trojan(Eternidade),掃描瀏覽器(如Chrome、Firefox)中的金融/加密憑證。
4. 竊取:偵測特定視窗標題或程序(如「Binance」),解密並執行payload,竊取資料並傳回駭客伺服器。
5. 隱藏:使用混淆JavaScript和Node.js環境,避開防毒軟體。
這宗大規模攻擊,不是傳統的「蠕蟲」,而是一款基於Python腳本的自傳播蠕蟲(worm),結合了銀行木馬(banking trojan)「Eternidade Stealer」;利用WhatsApp的信任機制,偽裝成政府通知、快遞訊息或投資群組連結,誘導用戶點擊。點擊後,蠕蟲會自動劫持WhatsApp會話、下載MSI安裝程式,並在背景部署竊取模組。
蠕蟲掃描主動視窗和程序,鎖定巴西銀行(如Bradesco、BTG Pactual)、支付服務(如MercadoPago、Stripe)和加密平台登入資訊。受影響的加密錢包/交易所包括Binance、Coinbase、MetaMask、Trust Wallet等。
防護建議
• 立即行動:如果懷疑中招,凍結銀行/交易所帳戶、啟用2FA,並追蹤資金流向(可聯絡交易所凍結駭客錢包)。
• 預防措施:
• 勿點連結:即使來自信任聯絡人,也驗證來源。避免下載.zip或MSI檔案。
• 更新軟體:保持WhatsApp、OS和瀏覽器最新版本,利用內建安全修補。
• 防毒工具:安裝可靠防毒軟體(如Trend Micro或Trustwave推薦),啟用即時掃描。
• 加密安全:使用硬體錢包儲存資產,避免在瀏覽器擴充套件管理私鑰。定期檢查剪貼簿。
本 網站/平台 內所有的資訊內容並不反映任何 crypto.xeb.app 之立場或意見。
