Через ZIP-архивы в WhatsApp идет новая волна распространения трояна Astaroth

Исследователи компании Sophos зафиксировали крупную вредоносную кампанию в WhatsApp, принадлежащем корпорации Meta (признана экстремистской и запрещена в России). Операция получила обозначение STAC3150 и стартовала 24 сентября 2025 года. За это время атака затронула свыше 250 пользователей, а её инструменты и инфраструктура постоянно изменяются.

Рассылка начинается с фишингового сообщения на португальском языке. Пользователю предлагают «просмотреть единожды» вложение, которое на деле оказывается ZIP-архивом. Внутри скрываются вредоносные VBS- или HTA-файлы. После их запуска активируется PowerShell, отвечающий за загрузку следующего этапа атаки.

В конце сентября злоумышленники использовали необычный канал связи: вредонос подтягивал вторичную стадию через IMAP, обращаясь к контролируемым ими почтовым ящикам. Однако уже в начале октября схема сменилась — загрузка перешла на HTTP, а трафик стал направляться на C2-сервер varegjopeaks[.]com.

Следующий этап включает PowerShell- или Python-скрипты, которые автоматизируют захват веб-сессий WhatsApp. Sophos отмечает, что для этого применяются Selenium WebDriver и библиотека WPPConnect. С их помощью троян получает токены сессий, выгружает контакт-листы и автоматически рассылает заражённые ZIP-файлы новым адресатам, обеспечивая быстрое распространение.

К концу октября кампания получила обновление: появился MSI-инсталлятор, разворачивающий банковский троян Astaroth (известный также как Guildma). Инсталлятор сохраняет на устройстве несколько файлов, добавляет автозапуск и выполняет скрипт AutoIt, замаскированный под обычный .log. Управляющий сервер для этой стадии располагается на manoelimoveiscaioba[.]com.

По данным Sophos, основной удар пришёлся по пользователям в Бразилии. Эксперты подчеркивают, что STAC3150 развивается стремительно, а злоумышленники постоянно меняют тактику.