Компания Sophos сообщила об обнаружении новой угрозы, распространяемой через WhatsApp. Кампания под названием STAC3150 действует с конца сентября 2025 года и уже затронула более 250 пользователей. Исследователи отмечают, что злоумышленники активно развивают инструменты и перестраивают инфраструктуру буквально по ходу атаки.
Вектор начинается с фишингового сообщения на португальском языке, где говорится о возможности «просмотреть единожды» прикреплённый файл. На деле это ZIP-архив с вредоносными VBS- или HTA-файлами, после запуска которых активируется PowerShell и загружаются дополнительные модули.
В сентябре вредонос получал данные с серверов через IMAP, извлекая вторую стадию из контролируемых злоумышленниками почтовых ящиков. В октябре схема была обновлена: загрузка перешла на HTTP, а трафик направляется к varegjopeaks[.]com. Далее подключаются PowerShell- и Python-скрипты, которые автоматически перехватывают веб-сессии WhatsApp с помощью Selenium WebDriver и WPPConnect.
Эти инструменты позволяют красть сессионные токены, собирать контакты и рассылать заражённые файлы другим пользователям, что обеспечивает быстрое развитие кампании.
В конце октября в цепочке появился MSI-инсталлятор, который устанавливает банковский троян Astaroth (Guildma). Он размещает на устройстве несколько файлов, прописывает автозапуск и выполняет вредоносный AutoIt-скрипт под видом .log. По данным Sophos, основной удар пришёлся на пользователей в Бразилии, а тактика атаки продолжает меняться.
Источник: Anti-Malware.ru
Рекомендуем также: