Пользователям WhatsApp угрожает утечка банковских данных через вирус Astaroth

Компания Sophos выявила новую методологию распространения вредоносного программного обеспечения, нацеленного на финансовые учреждения, через мессенджер WhatsApp. Эта кампания, обозначенная как STAC3150, была инициирована 24 сентября 2025 года и успела заразить значительное количество пользователей. Эксперты подчеркивают, что злоумышленники непрерывно совершенствуют свои техники и оперативно модифицируют инфраструктуру для обхода защитных механизмов.

Атака стартует с фишингового сообщения, представленного на португальском языке и содержащего предложение открыть прикрепленный файл. Этот файл, на первый взгляд безобидный ZIP-архив, на самом деле является контейнером для вредоносного кода. После его запуска активируется интерпретатор PowerShell, который инициирует загрузку дополнительных вредоносных модулей.

В конце сентября вредоносная программа устанавливала соединение с командными серверами через нестандартный протокол IMAP. Однако в начале октября злоумышленники модифицировали стратегию: загрузка вредоносного кода была переведена на использование протокола HTTP, а трафик перенаправлялся через сервер C2 с доменным именем varegjopeaks[.]com. На этом этапе активировались скрипты, написанные на языках PowerShell или Python, которые автоматически перехватывали веб-сессии WhatsApp.

Специалисты Sophos подчеркивают, что злоумышленники применяют фреймворк Selenium WebDriver в сочетании с библиотекой WPPConnect для захвата токенов веб-сессий, извлечения контактных данных пользователей и автоматической рассылки зараженных ZIP-архивов новым жертвам. Это значительно увеличивает скорость распространения кампании.

Данная техника демонстрирует высокий уровень подготовки и адаптивности злоумышленников, что требует от исследователей и разработчиков систем безопасности постоянного совершенствования методов противодействия, пишет источник.