Nahlédněte do operace STAC3150: malware se šíří přes WhatsApp, krade tokeny a kontakty, automatizuje zprávy a nasazuje trojan Astaroth. Zjištění Sophos.
© E. Vartanyan
Specialisté společnosti Sophos zaznamenali rozsáhlou vlnu malwaru, která se šíří přes WhatsApp. Operace s označením STAC3150 běží od 24. září 2025 a zasáhla už více než 250 uživatelů. Útočníci průběžně mění infrastrukturu a rychle obměňují svůj arzenál, takže pro obránce jde o neustále se pohybující cíl.
Útok startuje phishingovou zprávou v portugalštině. Adresát je vyzván, aby otevřel soubor „pouze k jednorázovému zobrazení“, ale místo dokumentu přijde archiv ZIP. Uvnitř se nacházejí skripty VBS nebo HTA, které spustí PowerShell a stáhnou další škodlivé moduly. Návnada je úsporná a přímočará, což jí pravděpodobně pomáhá splynout s každodenní konverzací v chatu.
Na konci září tyto moduly komunikovaly se servery operátorů přes IMAP a druhou fázi čerpaly ze speciálně připravených poštovních schránek. Na začátku října se schéma posunulo: stahování začalo probíhat přes HTTP připojení na doménu varegjopeaks[.]com. Odtud přebírají kontrolu skripty v PowerShellu a Pythonu; s využitím Selenium WebDriver a WPPConnect automatizují zachytávání webových relací WhatsAppu. To umožňuje krádež tokenů, kopírování seznamů kontaktů a také automatizované šíření infikovaných archivů ZIP na další vlnu obětí — kompromitované účty se tím mění v nevědomé zesilovače.
Na konci října se kampaň opět proměnila: útočníci nasadili MSI instalátor, který doručuje bankovní trojan Astaroth (Guildma). Po instalaci vytváří pomocné soubory, přidává se do automatického spouštění a spouští škodlivý skript AutoIt maskovaný jako běžný soubor .log. Podle Sophos se většina zaznamenaných infekcí vyskytuje v Brazílii a taktiky se mění překotným tempem — což přesně zapadá do širšího obrazu rychlých obratů, jež tuto kampaň provázejí.