Компания Sophos сообщила о выявлении масштабной активности трояна Astaroth, распространяемого через популярный мессенджер.
Специалисты Sophos обнаружили новую схему распространения вредоносного банковского ПО через WhatsApp* (принадлежит Meta, признанной экстремистской организацией и запрещённой в России). Кампания, получившая название STAC3150, стартовала 24 сентября 2025 года и затронула сотни пользователей. Эксперты отметили, что злоумышленники постоянно совершенствуют инструменты атаки и изменяют свою инфраструктуру в реальном времени.
Атака начинается с фишингового сообщения на португальском языке, в котором жертве предлагают открыть вложенный файл. На самом деле это ZIP-архив с вредоносным VBS- или HTA-файлом. После запуска файла активируется PowerShell, который загружает дополнительные модули.
В конце сентября вредоносные компоненты взаимодействовали с командными серверами через нестандартный протокол IMAP. В начале октября схема была изменена: загрузка вредоносного ПО стала проходить через HTTP-соединение, а трафик перенаправили на C2-сервер varegjopeaks[.]com. Далее подключались PowerShell- или Python-скрипты для автоматического перехвата веб-сессий WhatsApp.
Sophos подчеркнул, что злоумышленники применяют Selenium WebDriver совместно с библиотекой WPPConnect. Это позволяет похищать токены сессий, получать списки контактов пользователей и автоматически рассылать заражённые ZIP-файлы новым жертвам, что значительно ускоряет распространение кампании.
