Сотрудники Sophos сообщили о новой масштабной вредоносной активности, распространяемой через WhatsApp. Кампания под именем STAC3150 действует с 24 сентября 2025 года и уже затронула свыше 250 пользователей. По оценкам специалистов, злоумышленники оперативно обновляют инструменты и постоянно перестраивают инфраструктуру.
Первым этапом становится фишинговое сообщение на португальском языке с предложением открыть файл, якобы доступный для однократного просмотра. На самом деле речь идёт о ZIP-архиве с VBS- или HTA-файлом, который после запуска активирует PowerShell и подгружает дополнительные вредоносные компоненты.
В конце сентября вредонос взаимодействовал с серверами злоумышленников через IMAP, извлекая вторую фазу заражения из почтовых ящиков. Но уже в начале октября схема сменилась на HTTP и подключение к varegjopeaks[.]com. Затем включаются PowerShell- и Python-скрипты, предназначенные для автоматизации перехвата веб-сессий WhatsApp с использованием Selenium WebDriver и WPPConnect. Это позволяет красть токены сессий, копировать контакты и рассылать новые ZIP-файлы.
К концу октября кампания получила ещё одно развитие — был внедрён MSI-инсталлятор, который загружает банковский троян Astaroth (Guildma). Он создаёт на диске несколько файлов, прописывает себя в автозагрузку и активирует вредоносный AutoIt-скрипт под видом .log. По информации Sophos, большинство заражений зафиксировано в Бразилии, а тактика атакующих меняется очень быстро.
Источник: Anti-Malware.ru
Рекомендуем также: