基于 Python 的 WhatsApp 蠕虫，向巴西设备传播 Eternidade 窃取器

网络安全研究人员披露了一项新攻击活动的细节：攻击者结合社会工程学与 WhatsApp 劫持手段，向巴西用户分发一款名为 Eternidade Stealer 的德尔福（Delphi）语言银行木马。

Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示：“该恶意软件利用互联网消息访问协议（IMAP）动态获取命令与控制（C2）服务器地址，方便威胁行为体更新其控制服务器。”

“它通过 WhatsApp 蠕虫活动传播，目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。”

此次发现紧随另一项名为 “Water Saci” 的攻击活动之后，后者同样以巴西用户为目标，通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播，进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。

Eternidade Stealer 攻击集群是一系列攻击活动的组成部分，这些活动利用 WhatsApp 在巴西的普及性，攻陷目标用户设备后，将这款即时通讯应用作为传播载体，对巴西机构发动大规模攻击。

攻击技术特点与地域针对性

另一个显著趋势是，针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高，还源于它曾在该地区的软件开发领域被广泛教授和使用。

攻击始于一个经过混淆处理的 Visual Basic 脚本，脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本，负责交付两个有效载荷，使感染链分化为两条：

Python 脚本：通过 WhatsApp Web 以蠕虫方式传播恶意软件
MSI 安装程序：借助 AutoIt 脚本启动 Eternidade Stealer

这款 Python 脚本与 SORVEPOTEL 类似，会与远程服务器建立通信，并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表，同时过滤掉群组、企业联系人及广播列表。

随后，恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息，通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段，它会使用消息模板，填入基于时间的问候语和联系人姓名，向所有联系人发送恶意附件。

攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始，其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语，判断受感染设备是否位于巴西，若不满足则自动终止运行，体现出威胁行为体高度本地化的攻击目标。

恶意软件功能与控制机制

脚本随后会扫描运行进程和注册表项，确认是否存在安全软件，同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是，恶意软件通过进程注入（process hollowing）技术，将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。

作为一款德尔福语言编写的凭据窃取器，Eternidade 会持续扫描活动窗口和运行进程，查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串，包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。

研究人员表示：“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态，直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发，且不会被普通用户或沙箱环境发现。”

一旦检测到匹配项，恶意软件会联系 C2 服务器，相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制，同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱，会启用嵌入在源代码中的备用 C2 地址。

与服务器成功建立连接后，恶意软件会等待接收指令并在受感染设备上执行，使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下：