Специалисты Acronis зафиксировали новую волну кибератак с использованием банковского трояна Astaroth, который теперь распространяется через популярный мессенджер. Схема атак на пользователей осталась прежней: после заражения троян автоматически рассылает фишинговые сообщения контактам жертвы в WhatsApp (принадлежит Meta, организации, признанной экстремистской и запрещенной на территории РФ).
Троян Astaroth, известный с 2015 года и изначально ориентированный на пользователей Латинской Америки, недавно сменил тактику и перешёл от рассылки фишинговых писем к использованию мессенджеров. Атака начинается с ZIP-архива, содержащего VBScript, который загружает Python-модуль для распространения вируса и банковский модуль для кражи личных данных. Вирус также собирает статистику о собственном распространении.
После заражения троян получает доступ к списку контактов WhatsApp жертвы и автоматически отправляет им заражённые сообщения, расширяя сеть распространения без участия пользователя. Основной модуль Astaroth сохранил классическую структуру: он написан на Delphi, а установщик использует Visual Basic Script.
Новшеством стала червеобразная компонента на Python, отвечающая за распространение трояна через WhatsApp*.
* Организация, в отношении которой судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным ФЗ “О противодействии экстремистской деятельности”.
