Компания Sophos заявила о широкой троянской активности Astaroth, которая реализуется посредством популярной платформы обмена сообщениями.
Специалисты Sophos установили новую тактику распространения вредоносного программного обеспечения, нацеленного на банковские операции, через мессенджер WhatsApp* (принадлежит Meta, деятельность которой признана экстремистской и запрещена в РФ). Данная кампания, обозначенная как STAC3150, активна с 24 сентября 2025 года и затронула значительное количество юзеров. Аналитики Sophos подчеркнули, что злоумышленники оперативно улучшают свои инструменты и вносят изменения в инфраструктуру в режиме реального времени.
Атака начинается с фишингового сообщения, написанного на португальском языке, где пользователю предлагают ознакомиться с вложенным файлом. В реальности это ZIP-архив, внутри которого находится вредоносный VBS- или HTA-файл. После запуска этого файла активируется PowerShell, загружающий дополнительные вредоносные модули.
В конце сентября вредоносные программы взаимодействовали с серверами управления атакующих нетрадиционным способом – через протокол IMAP. В начале октября схема поменялась: загрузка стала осуществляться через HTTP-соединение, а трафик был перенаправлен на управляющий сервер varegjopeaks[.]com. Далее в ход шли скрипты PowerShell или Python, задачей которых являлся автоматический перехват веб-сессий WhatsApp.
Sophos уведомила, что киберпреступники используют Selenium WebDriver в связке с библиотекой WPPConnect. Это позволяет им воровать токены сессий, получать доступ к спискам контактов пользователей и автоматически рассылать зараженные ZIP-архивы новым жертвам, что существенно ускоряет распространение кампании.