Эксперты компании Sophos предупредили о новой волне атак с использованием банковского трояна Astaroth, который активно распространяется через мессенджер WhatsApp (принадлежит Meta, признанной в России экстремистской и запрещённой). Согласно данным аналитиков, кампания под кодовым названием STAC3150 стартовала 24 сентября 2025 года и уже затронула сотни пользователей. Злоумышленники рассылают фишинговые сообщения на португальском языке, содержащие ZIP-архивы с вредоносными файлами VBS или HTA. После запуска эти файлы активируют PowerShell и загружают дополнительные модули. Изначально вредонос взаимодействовал с командными серверами через протокол IMAP, однако в октябре схема изменилась: загрузка стала выполняться по HTTP, а трафик направляется на C2-сервер varegjopeaks[.]com. После этого PowerShell- или Python-скрипты перехватывают веб-сессии WhatsApp. По информации Sophos, киберпреступники используют Selenium WebDriver и библиотеку WPPConnect, что позволяет им извлекать токены сессий, просматривать списки контактов пользователей и автоматически рассылать заражённые ZIP-файлы, ускоряя распространение вируса.

Поделиться ссылкой: