Дарья Каширина
24 ноября 2025 19:58:03
Фото: © E. Vartanyan
Эксперты Sophos обнаружили кампанию STAC3150, распространяющую троян Astaroth через фишинговые ZIP-файлы в WhatsApp.
Специалисты компании Sophos зафиксировали масштабную кампанию распространения вредоносного ПО через WhatsApp. Операция, получившая обозначение STAC3150, активна с 24 сентября 2025 года и уже затронула более 250 пользователей. Исследователи отмечают, что инфраструктура злоумышленников постоянно меняется, а инструменты регулярно обновляются.
Атака начинается с фишингового сообщения на португальском языке. Пользователю предлагают открыть файл «для однократного просмотра», но вместо документа он получает ZIP-архив. Внутри находятся VBS- или HTA-скрипты, которые при запуске активируют PowerShell и загружают дополнительные вредоносные модули.
В конце сентября эти модули взаимодействовали с серверами операторов кампании через IMAP, извлекая вторую фазу заражения из специально подготовленных почтовых ящиков. В начале октября схема сменилась: загрузка стала осуществляться через HTTP-подключение к домену varegjopeaks[.]com. Далее вступают в работу PowerShell- и Python-скрипты, которые используют инструменты Selenium WebDriver и WPPConnect для автоматизации перехвата веб-сессий WhatsApp. Это позволяет воровать токены, копировать список контактов и рассылать заражённые ZIP-архивы следующим жертвам.
К концу октября кампания получила новое развитие: злоумышленники начали применять MSI-инсталлятор, который загружает банковский троян Astaroth (Guildma). После установки он создаёт вспомогательные файлы, прописывает себя в автозагрузку и запускает вредоносный AutoIt-скрипт, замаскированный под обычный .log-файл. По данным Sophos, большинство случаев заражения выявлено в Бразилии, и используемые тактики меняются крайне быстро.