Через вредоносные ZIP-архивы в WhatsApp передаётся троян Astaroth
Специалисты компании Sophos заявили, что выявили новую крупную схему распространения вредоносных программ через WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России). Кампания получила имя STAC3150, работает с 24 сентября 2025 года и уже затронула более 250 человек. Исследователи считают, что злоумышленники постоянно дорабатывают инструменты и меняют инфраструктуру практически в реальном времени.
Атака начинается с фишингового сообщения, отправленного на португальском языке. Пользователю предлагают «однократно просмотреть» прикреплённый файл. На деле это ZIP-архив, где скрывается вредоносный VBS- или HTA-файл. После запуска включается PowerShell, который подгружает дополнительные вредоносные модули.
В конце сентября пейлоады связывались с серверами атакующих необычным образом — через IMAP, получая вторую стадию заражения из почтовых ящиков, контролируемых злоумышленниками. Однако уже в начале октября схема была заменена: загрузка перешла на HTTP, а трафик стал идти на C2-сервер varegjopeaks[.]com. После этого применяются PowerShell- или Python-скрипты, предназначенные для автоматического перехвата веб-сессий WhatsApp.
Sophos сообщает, что преступники используют Selenium WebDriver и библиотеку WPPConnect. Это позволяет им воровать токены сессий, собирать контактные списки пользователей и автоматически рассылать заражённые ZIP-файлы новым жертвам, что ускоряет масштабирование кампании.
К концу октября их операция стала ещё сложнее: появился MSI-инсталлятор, который разворачивает известную банковскую вредоносную программу Astaroth (Guildma). Такой файл записывает на компьютер несколько элементов, прописывает автозапуск и запускает вредоносный AutoIt-скрипт, замаскированный под обычный .log. Его C2-сервер размещён на manoelimoveiscaioba[.]com. По данным Sophos, основная часть заражений пришлась на пользователей из Бразилии. Исследователи отмечают, что кампания развивается стремительно, а тактика злоумышленников меняется постоянно.
Источник: Anti-Malware.ru
Рекомендуем также:
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
