WhatsAppワームがブラジル全土に銀行トロイの木馬を拡散し、暗号資産ウォレットを標的に

このキャンペーンは、ラテンアメリカ最大のデジタル資産市場全体の暗号資産ウォレットと金融ログインを特に標的とするEternidade Stealerと呼ばれるバンキングトロイの木馬を使用しています。

攻撃の仕組み

このマルウェアは、自己複製するワームとバンキングトロイの木馬という2つの主要コンポーネントを使用してWhatsAppを通じて拡散します。被害者がWhatsAppを通じて送信された悪意のあるリンクをクリックすると、アカウントを乗っ取り、バックグラウンドで有害なソフトウェアをダウンロードする自動シーケンスが起動します。

Trustwave SpiderLabsの研究者たちは2025年11月にこのキャンペーンを特定しました。研究者たちは、脅威アクターが偽の政府プログラム、配送通知、詐欺的な投資グループを使用して、人々に悪意のあるリンクをクリックさせるよう騙していると指摘しています。

ワームコンポーネントはWhatsAppアカウントを乗っ取り、連絡先リストにアクセスします。ビジネス連絡先やグループを無視するスマートフィルタリングを使用し、代わりに詐欺に引っかかりやすい個人に焦点を当てています。マルウェアは自動的に各連絡先にパーソナライズされたメッセージを送信し、実名と時間に適したポルトガル語の挨拶を使用します。

出典: trustwave.com

一方、バンキングトロイの木馬は被害者のデバイスに静かにインストールされます。このEternidade Stealerはコンピュータ上で実行されている金融アプリケーションと暗号資産ウォレットをスキャンします。バンキングアプリや暗号資産取引所を検出すると、マルウェアはすぐに起動してログイン認証情報の窃取を開始します。

標的となる金融サービスと暗号資産プラットフォーム

このマルウェアは、Bradesco、BTG Pactual、Itaú、Santander、Caixa Econômica Federalなどの主要銀行を含む幅広いブラジルの金融機関を標的にしています。MercadoPagoやStripeなどの決済サービスも標的リストに含まれています。

暗号資産ユーザーにとって、この脅威は特に深刻です。マルウェアはバイナンス、Coinbase、Krakenなど多数の取引所からの認証情報を探し出します。また、メタマスク、Trust Wallet、Exodus、Ledger Live、Phantom Walletなど多くの人気暗号資産ウォレットも標的にしています。

ブラジルは、その重要な暗号資産の普及率により、サイバー犯罪者にとって魅力的な標的となっています。同国はChainanalysisの暗号資産採用指数で世界第5位にランクされ、2024年半ばから2025年半ばの間に約3,190億ドルの暗号資産取引を処理しました。

高度な回避テクニック

Eternidade Stealerが特に危険なのは、検出を回避するための巧妙なアプローチです。固定サーバーアドレスに接続する一般的なマルウェアとは異なり、このトロイの木馬はハッカーから指示を受け取るためにメールアカウントを使用します。

このマルウェアにはGmailアカウントのハードコードされたログイン認証情報が含まれています。標準的なメールプロトコル（IMAP）を使用してこれらのアカウントに接続し、新しいコマンドをチェックします。この方法は通常のメールトラフィックに溶け込み、セキュリティシステムが検出してブロックすることを困難にします。

当局が1つのコマンドサーバーをシャットダウンしても、攻撃者は更新されたサーバーアドレスを含む新しいメールを送信するだけです。マルウェアはメールをチェックし、新しいサーバーの場所を抽出して、操作を継続します。このメールベースのシステムにより、マルウェアは持続性を維持し、ネットワークレベルのシャットダウンを回避することができます。

このトロイの木馬は、システム言語としてブラジルポルトガル語を使用しているコンピュータでのみ起動します。他の言語を検出すると、マルウェアはすぐに自己終了します。この超焦点を絞ったターゲティングにより、攻撃者はセキュリティ研究者を回避し、意図した被害者にリソースを集中させることができます。

関連キャンペーンと広範な脅威

セキュリティ研究者は、WhatsAppを通じてブラジルのユーザーを標的にした複数の関連キャンペーンを追跡しています。2025年9月、トレンドマイクロはSORVEPOTELという名前のマルウェアを拡散させるWater Saciと呼ばれるキャンペーンを特定しました。このキャンペーンはブラジル全土の政府組織、製造会社、教育機関に感染しました。

Maverickと呼ばれる別のバンキングトロイの木馬も2025年初頭からWhatsAppを通じて拡散しています。これらのキャンペーンは、WhatsAppの乗っ取りやブラジルの金融機関を標的にするなど、類似した手法を共有しています。

Eternidade Stealerキャンペーンは、これらの初期の脅威の進化を表しています。攻撃者はPowerShellスクリプトからPythonプログラミングに移行し、WhatsAppの連絡先を通じて拡散するワームをより効率的にしました。また、マルウェアのシャットダウンを困難にする革新的なメールベースのコマンドシステムも追加しました。

脅威アクターの独自のインフラからのセキュリティログは、驚くべきグローバルな到達範囲を明らかにしました。マルウェアは特にブラジルを標的にしていますが、接続試行は38の異なる国から来ていました。アメリカ合衆国が196回の試行で最も多く、次いでオランダ、ドイツ、イギリスが続きました。

ユーザーと組織のための保護ステップ

WhatsAppユーザーは、信頼できる連絡先からであっても、アプリを通じて受け取ったリンクには細心の注意を払うべきです。誰かが限られた文脈で予期しないリンクを送信してきた場合は、クリックする前に別の通信チャネルで確認してください。

セキュリティ専門家はいくつかの保護対策を推奨しています。マルウェアが悪用する可能性のある脆弱性を修正するために、すべてのソフトウェアとオペレーティングシステムを最新の状態に保ちましょう。悪意のあるファイルを検出してブロックできる評判の良いアンチウイルスソフトウェアをインストールしてください。特に、予期せず届く政府プログラム、配送通知、または投資機会に関するメッセージには特に注意してください。

アカウントが侵害されたと疑う場合、即時の行動が重要です。すべての銀行および暗号資産アカウントへのアクセスをすぐに凍結してください。金融機関や取引所に連絡して侵害を報告してください。すべての取引を注意深く監視してください。これにより、当局が盗まれた資金を追跡し、ハッカーのウォレットを凍結する可能性があります。

組織はネットワークを保護する上で追加の責任に直面しています。IT管理者は、WhatsAppでのメディアやドキュメントの自動ダウンロードを無効にするように企業デバイスを構成する必要があります。エンドポイントセキュリティとファイアウォールポリシーを使用して、仕事用コンピュータでの個人メッセージングアプリを通じたファイル転送を制限してください。

暗号資産ウォレット攻撃の増大する脅威はブラジルを超えて広がっています。同様のマルウェアキャンペーンが世界中のユーザーを標的にしており、攻撃者はデジタル資産を盗むための新しい手法を常に開発しています。取引の物理的な確認を必要とするハードウェアウォレットは、暗号資産を保管するための最も安全なオプションです。

ブラジルの進化する暗号資産の状況は、ますます魅力的な標的となっています。同国はビットコインを国家準備に追加し、包括的なステーブルコイン規制を実施することを検討しており、これらの動きは主流の採用が増加していることを示しています。この活動の増加は当然、ユーザーを悪用しようとするサイバー犯罪者からの注目を集めます。

デジタル軍拡競争は続く

Eternidade Stealerキャンペーンは、サイバー犯罪者がWhatsAppのような人気プラットフォームを悪用するために戦術を急速に適応させる方法を示しています。メールベースのコマンドシステムと超ターゲットを絞った地理的フィルタリングの使用は、洗練された運用セキュリティを示しています。ブラジルの暗号資産市場が成長し続けるにつれて、ユーザーは日常的なコミュニケーションツールへの信頼を利用する進化するソーシャルエンジニアリング攻撃に対して警戒を続ける必要があります。最良の防御は、予期しないメッセージに対する健全な懐疑心、堅牢なセキュリティソフトウェア、侵害が発生した場合の即時対応プロトコルを組み合わせたものです。