WhatsApp црвот шири Astaroth банкарски тројанец низ Бразил преку автоматско испраќање пораки до контакти

Истражувачите за сајбер-безбедност открија детали за нова кампања која го користи WhatsApp како канал за дистрибуција на Windows банкарски тројанец наречен Astaroth, во напади насочени кон Бразил.

Кампањата е кодно именувана Boto Cor-de-Rosa од страна на Acronis Threat Research Unit.

„Малициозниот софтвер ја презема листата на WhatsApp контакти на жртвата и автоматски испраќа злонамерни пораки до секој контакт со цел понатамошно ширење на инфекцијата“, соопшти сајбер-безбедносната компанија во извештај споделен со The Hacker News.

„Додека основниот Astaroth payload и понатаму е напишан во Delphi, а неговиот инсталер се потпира на Visual Basic скрипта, новододадениот WhatsApp-базиран worm модул е целосно имплементиран во Python, што го нагласува сè поголемото користење на повеќејазични, модуларни компоненти од страна на заканувачките актери.“

Astaroth, познат и како Guildma, е банкарски малициозен софтвер кој се појавува „во дивината“ уште од 2015 година и првенствено ги таргетира корисниците во Латинска Америка, особено во Бразил, со цел кражба на податоци. Во 2024 година, две различни заканувачки групи, следени како PINEAPPLE и Water Makara, беа забележани како користат phishing е-пораки за ширење на овој малициозен софтвер.

Користењето на WhatsApp како средство за испорака на банкарски тројанци е нова тактика која добива на популарност меѓу заканувачките актери што ги таргетираат бразилските корисници, поттикната од масовната употреба на оваа платформа за пораки во земјата. Минатиот месец, Trend Micro детално опиша како Water Saci се потпира на WhatsApp за ширење на Maverick и варијанта на Casbaneiro.

Sophos, во извештај објавен во ноември 2025 година, соопшти дека следи повеќефазна кампања за дистрибуција на малициозен софтвер со кодно име STAC3150, насочена кон корисници на WhatsApp во Бразил со малициозниот софтвер Astaroth. Повеќе од 95% од погодените уреди биле лоцирани во Бразил, додека преостанатите инфекции биле распрснати низ САД и Австрија.

Активноста, која е активна најмалку од 24 септември 2025 година, испорачува ZIP архиви што содржат downloader скрипта која презема PowerShell или Python скрипта за собирање податоци од WhatsApp корисници за понатамошно ширење, заедно со MSI инсталер кој го инсталира тројанецот. Најновите наоди на Acronis се продолжение на овој тренд, при што ZIP фајлови дистрибуирани преку WhatsApp пораки служат како почетна точка за инфекцијата со малициозниот софтвер.

„Кога жртвата ќе ја извлече и отвори архивата, наидува на Visual Basic Script маскирана како безопасен фајл“, соопшти сајбер-безбедносната компанија. „Извршувањето на оваа скрипта го активира преземањето на компонентите од следната фаза и го означува почетокот на компромитацијата.“

Ова вклучува два модула:

• Python-базиран модул за ширење, кој ги собира WhatsApp контактите на жртвата и автоматски им препраќа злонамерна ZIP архива на секој од нив, ефективно ширејќи го малициозниот софтвер на начин сличен на црв (worm).
• Банкарски модул, кој работи во позадина и континуирано ја следи активноста на веб-прелистување на жртвата и се активира кога се посетуваат банкарски URL-адреси, со цел собирање на ингеренции и остварување финансиска добивка.

„Авторот на малициозниот софтвер има имплементирано и вграден механизам за следење и известување на метриките за ширење во реално време“, соопшти Acronis. „Кодот периодично логира статистики како бројот на успешно испратени пораки, бројот на неуспешни обиди и стапката на испраќање мерена во пораки по минута.“

Извори:

• The Hacker News – WhatsApp Worm Spreads Astaroth Banking Trojan Across Brazil via Contact Auto-Messaging The Hacker News