Специалисты Acronis зафиксировали активизацию киберпреступной деятельности, связанной с банковским трояном Astaroth, который распространяется через популярный мессенджер. Метод атак на пользователей остался прежним.
После успешного заражения троян начинает рассылать обманные сообщения контактам в WhatsApp* (принадлежит Meta*, организации, деятельность которой признана экстремистской и запрещена в России) инфицированного пользователя.
Astaroth, известный с 2015 года и изначально ориентированный на пользователей из Латинской Америки, недавно скорректировал свои методы, сделав выбор в пользу мессенджеров вместо фишинговых электронных писем. Атака начинается с ZIP-архива, содержащего VBScript, который скачивает Python-модуль для дальнейшего распространения вредоносного кода и банковский модуль, предназначенный для кражи конфиденциальной информации. Также вирус отслеживает статистику своего распространения.
После проникновения в систему вирус получает доступ к перечню контактов WhatsApp* жертвы и автоматически рассылает зараженные сообщения, увеличивая охват заражения без какого-либо участия жертвы. Основной модуль Astaroth сохранил свою классическую структуру. Он разработан на Delphi, а установщик написан с использованием Visual Basic Script.
В качестве нового компонента выступает червеобразный модуль, созданный на Python, который отвечает за распространение вируса через WhatsApp*, пишет Anti-malware.ru.