Эксперты компании Sophos выявили новую массированную кибератаку с использованием банковского трояна Astaroth, распространяемого через мессенджер WhatsApp (принадлежит корпорации Meta, признанной в РФ экстремистской организацией и запрещенной).
Эта кампания, получившая кодовое название STAC3150, началась 24 сентября 2025 года и уже затронула сотни пользователей. Злоумышленники рассылают фишинговые сообщения на португальском языке, которые содержат вредоносные ZIP-архивы с файлами VBS или HTA. При запуске этих файлов активируется PowerShell, который загружает дополнительные вредоносные модули.
Изначально троян взаимодействовал с командными серверами через протокол IMAP. Однако в октябре схема изменилась: теперь загрузка вредоносных компонентов осуществляется по HTTP, а трафик направляется на C2-сервер varegjopeaks[.]com. После этого PowerShell- или Python-скрипты перехватывают активные веб-сессии WhatsApp.
По данным Sophos, киберпреступники используют инструменты Selenium WebDriver и библиотеку WPPConnect. Это позволяет им извлекать токены пользовательских сессий, получать доступ к спискам контактов жертв и автоматически рассылать зараженные ZIP-файлы, значительно ускоряя распространение вредоносного ПО.
Ранее «Петербургский дневник» рассказывал, что в Роскомнадзоре предупредили о вероятности полной блокировки WhatsApp. Подробнее читайте здесь.