Фирма Sophos заявила об обнаружении масштабной волны распространения троянской программы Astaroth, использующей популярный мессенджер.
Разработчики Sophos выявили свежий метод дистрибуции опасного банковского зловреда посредством WhatsApp* (принадлежит Meta, признанной экстремистской организацией и запрещённой в РФ). Операция, получившая кодовое название STAC3150, начала своё действие 24 сентября 2025 года и повлияла на сотни аккаунтов. Аналитики подчеркнули, что киберпреступники непрерывно улучшают свои инструменты и оперативно модифицируют свою сетевую структуру.
Первичная стадия атаки – это фишинговое послание на португальском языке, призывающее получателя развернуть приложенный файл. Фактически, это ZIP-контейнер, содержащий вредоносный VBS- или HTA-файл. После его запуска активизируется PowerShell, который скачивает дополнительные компоненты.
В завершении сентября вредоносные элементы осуществляли связь с управляющими серверами, используя нестандартный IMAP-протокол. В начале октября схема была трансформирована: загрузка вредоносного ПО осуществлялась через HTTP-соединение, а трафик направлялся на C2-сервер varegjopeaks[.]com. Затем подключались PowerShell- или Python-скрипты для автоматизированного захвата веб-сессий WhatsApp.
Sophos особо отметила, что злоумышленники используют Selenium WebDriver в связке с библиотекой WPPConnect. Это позволяет им красть маркеры сессий, заполучать перечни контактов пользователя и автоматически отправлять инфицированные ZIP-архивы новым жертвам, что значительно расширяет охват кампании.
