경고: Whats App 웜이 브라질에서 암호화폐 지갑과 금융 로그인을 표적으로 삼아 은행 트로이목마를 확산시키고 있습니다.
브라질의 암호화폐 보유자들은 Whats App 메시지를 통해 공유되는 하이재킹 웜과 뱅킹 트로이 목마를 포함하는 정교한 해킹 캠페인을 경계해야 합니다.
Trustwave의 사이버 보안 연구 팀 Spider Labs의 새로운 보고서에 따르면, "Eternidade Stealer"로 알려진 뱅킹 트로이 목마는 "가짜 정부 프로그램, 배달 알림", 친구 및 사기 투자 그룹의 메시지와 같은 메시지 애플리케이션 Whats App의 사회 공학을 통해 푸시되고 있습니다.
Spiderlabs 연구원인 Nathaniel Morales, John Basmayor 및 Nikita Kazymirskyi는 "Whats App은 브라질 사이버 범죄 생태계에서 가장 많이 악용되는 통신 채널 중 하나입니다. 지난 2년 동안 위협 행위자들은 플랫폼의 엄청난 인기를 활용하여 은행원 트로이 목마와 정보를 훔치는 악성 코드를 배포하는 등 전술을 개선했습니다"라고 말했습니다.
Layman의 용어로 프로세스를 설명하면 Whats App의 웜 링크를 클릭하면 피해자를 웜과 뱅킹 트로이 목마로 감염시키는 연쇄 반응이 시작됩니다.
웜은 계정을 하이재킹하고 피해자의 연락처 목록을 얻습니다. 보다 효율적인 프로세스를 위해 "스마트 필터링"을 활용하여 비즈니스 연락처 및 그룹을 무시하고 개별 연락처를 타겟팅합니다.
한편, 뱅킹 트로이목마는 피해자의 장치에 자동으로 다운로드되는 파일로 백그라운드에서 Eternidade Stealer를 배포합니다. Eternidade Stealer는 금융 데이터를 스캔하고 다양한 브라질 은행과 핀테크 또는 암호화폐 거래소 및 지갑에 로그인할 수 있습니다.
관련 항목: 암호화 개인 키 도난은 이제 큰 사업입니다. 알아야 할 사항은 다음과 같습니다.
또한 악성 코드에는 탐지 또는 종료를 방지하는 영리한 방법이 있습니다. 고정된 서버 주소를 갖는 대신 사전 설정된 Gmail 계정을 활용하여 이메일을 통해 새 명령을 확인합니다. 이를 통해 해커는 새 이메일을 보내 명령을 변경할 수 있습니다.
"이 악성 코드의 주목할만한 특징 중 하나는 하드코딩된 자격 증명을 사용하여 이메일 계정에 로그인하여 C2 서버를 검색한다는 점입니다. 이는 C2를 업데이트하고 지속성을 유지하며 네트워크 수준에서 탐지 또는 게시 중단을 회피하는 매우 영리한 방법입니다. 악성 코드가 이메일 계정에 연결할 수 없는 경우 하드코딩된 폴백 C2 주소를 사용합니다. "라고 보고서는 말합니다.
암호화폐 분석 플랫폼 Chainalytic의 데이터에 따르면 브라질은 라틴 아메리카에서 가장 큰 암호화폐 채택 국가이며 회사의 2025 글로벌 암호화폐 채택 지수 상위 20위에서 5위를 차지했습니다.
이 지수는 국가의 다양한 유형의 암호화폐 서비스 사용을 기반으로 하며 인구 규모, 구매력 등 기타 요소를 고려합니다.
Whats App과 같은 앱 사용자는 신뢰할 수 있는 연락처에서 전송된 링크라도 전송된 링크를 주의 깊게 살펴보는 것이 좋습니다.
유용한 전략은 링크가 괜찮은지 확인하기 위해 별도의 앱에 메시지를 보내고, 제한된 상황에서 갑자기 전송된 링크를 의심하는 것입니다.
소프트웨어를 최신 상태로 유지하면 이전 버전을 대상으로 하는 잠재적인 버그로부터 사람들을 보호하는 데 도움이 될 수 있으며, 바이러스 백신 소프트웨어는 잠재적으로 문제를 표시하는 데 도움이 될 수 있습니다.
누군가 해킹당했다면 은행 및 암호화폐 서비스에 대한 모든 잠재적인 액세스 포인트를 즉시 동결하여 유출을 막는 것이 중요합니다. 자금 추적은 거래소, 연구원 또는 당국이 자산이 어디로 이동하는지 추적하는 데 도움이 될 수 있으며 잠재적으로 해커 지갑을 동결시키는 데 도움이 될 수 있습니다.
잡지: '도와주세요! 내 로봇 청소기가 내 비트코인을 훔치고 있습니다. ': 스마트 장치가 공격할 때.
원문 제목: Warning: WhatsApp worm targets Brazilian crypto wallets, bank accounts
Alert: A WhatsApp worm is spreading a banking trojan in Brazil, targeting crypto wallets and financial logins.
Brazilian crypto holders are urged to be on the lookout for a sophisticated hacking campaign that includes a hijacking worm and banking trojan shared via WhatsApp messages.
According to a new report from Trustwave’s cybersecurity research team SpiderLabs, the banking trojan, known as “Eternidade Stealer” is being pushed viasocial engineeringonmessaging applicationWhatsApp such as “fake government programs, delivery notifications,” messages from friends and fraudulent investment groups.
“WhatsApp continues to be one of the most exploited communication channels in Brazil’s cybercrime ecosystem.
Over the past two years, threat actors have refined their tactics, using the platform’s immense popularity to distribute banker trojans and information-stealing malware,” said Spiderlabs researchers Nathaniel Morales, John Basmayor, and Nikita Kazymirskyi.
Explaining the process in Layman's terms, clicking the worm link in WhatsApp sets off a chain reaction that infects the victim with both the worm and banking trojan.
The worm hijacks the account and obtains the victim’s contact list.
It utilizes “smart filtering” to ignore business contacts and groups to target individual contacts for a more efficient process.
Meanwhile, the banking trojan is a file automatically downloaded onto the victim’s device that deploys the Eternidade Stealer in the background, which is able to scan forfinancial data and loginsto a range of Brazilian banks and fintech or crypto exchanges and wallets.
Related:Crypto private key theft is now big business: Here’s what to know.
The malware also has a clever way to avoid detection or being shutdown.
Instead of having a fixed server address, it utilizes a pre-set gmail account to check for new commands via email.
This enables the hackers to change commands by sending new emails.
“One notable feature of this malware is that it uses hardcoded credentials to log into its email account, from which it retrieves its C2 server.
It is a very clever way to update its C2, maintain persistence, and evade detections or takedowns on a network level.
If the malware cannot connect to the email account, it uses a hardcoded fallback C2 address,” the report reads.
According to data from crypto analytics platform Chainalysis, Brazil is the largest country for crypto adoption in Latin America, andranksfifth in the firm’s 2025 Global Crypto Adoption Index Top 20.
The index is based on the countries’ usage of different types of crypto services, and takes into account other factors, including population size and purchasing power.
Users of apps such as WhatsApp are advised to tread with caution with any link sent to them, even if it's from a trustworthy contact.
A helpful tactic can be to message them on a separate app to confirm if the link is okay, and to be suspicious of a link sent out of the blue with limited context given.
Keeping software updated can also help protect people from potential bugs targeting older versions, while anti-virus software can also potentially help flag issues.
If someone has been hacked, it is important to immediately freeze all potential access points to banking and crypto services to stop the bleed.
Tracking funds can also help exchanges, researchers or authorities track where the assets are going, potentially helping them to freeze hacker wallets.
Magazine:‘Help! My robot vac is stealing my Bitcoin’: When smart devices attack.