Через вредоносные ZIP-архивы в WhatsApp расползается троян Astaroth
По данным Sophos, выявлена крупная вредоносная кампания STAC3150, распространяемая через WhatsApp. Она стартовала 24 сентября 2025 года и уже затронула свыше 250 пользователей. Специалисты отмечают высокую динамику изменений инфраструктуры и инструментов злоумышленников.
Атака начинается с фишинговых сообщений на португальском языке, содержащих ZIP-файл, где в качестве полезной нагрузки используются VBS- или HTA-скрипты. После их запуска активируется PowerShell, загружающий новые компоненты.
В конце сентября пейлоады запрашивали вторую стадию через IMAP, обмениваясь данными с контролируемыми почтовыми ящиками. В октябре схема переключилась на HTTP, подключаясь к varegjopeaks[.]com. После этого действуют PowerShell- или Python-скрипты, которые автоматически перехватывают сессии WhatsApp при помощи Selenium WebDriver и WPPConnect.
Похищаются сессионные токены, собираются контакты, а заражённые ZIP-файлы рассылаются новым пользователям.
Позже в цепочку включили MSI-инсталлятор, разворачивающий банковский вредонос Astaroth (Guildma). Он создаёт на диске несколько файлов, прописывает себя в автозапуск и запускает вредоносный AutoIt-скрипт под видом .log, взаимодействующий с C2 manoelimoveiscaioba[.]com. По данным Sophos, основная часть атак пришлась на Бразилию, а схема постоянно модернизируется.
Источник: Anti-Malware.ru
Рекомендуем также:
