Sophos warnt: WhatsApp-Malware STAC3150 kapert WhatsApp Web und verteilt Astaroth

Spezialisten von Sophos haben eine groß angelegte Schadsoftware-Welle entdeckt, die sich über WhatsApp verbreitet. Die Operation, intern als STAC3150 bezeichnet, läuft seit dem 24. September 2025 und hat bereits mehr als 250 Nutzer getroffen. Die Angreifer halten ihre Infrastruktur ständig in Bewegung und wechseln häufig ihre Werkzeuge – ein bewegliches Ziel für Verteidiger.

Der Angriff beginnt mit einer Phishing-Nachricht auf Portugiesisch. Empfänger werden aufgefordert, eine Datei „zur einmaligen Ansicht“ zu öffnen – stattdessen landet ein ZIP-Archiv. Darin stecken VBS- oder HTA-Skripte, die PowerShell anstoßen und weitere schädliche Module nachladen. Die Masche ist schlicht und direkt, was sie im täglichen Chat-Strom leichter kaschiert.

Ende September kommunizierten diese Module per IMAP mit den Servern der Betreiber und zogen die zweite Stufe aus eigens präparierten Postfächern. Anfang Oktober änderte sich das Schema: Downloads liefen nun über eine HTTP-Verbindung zur Domain varegjopeaks[.]com. Von dort übernehmen PowerShell- und Python-Skripte, die mit Selenium WebDriver und WPPConnect die Übernahme von WhatsApp-Web-Sitzungen automatisieren. So werden Tokens entwendet, Kontaktlisten kopiert und infizierte ZIP-Archive wie von selbst an die nächste Welle potenzieller Opfer verschickt – kompromittierte Accounts wirken als ungewollte Verstärker.

Ende Oktober folgte der nächste Schwenk: Die Täter setzten einen MSI-Installer ein, der den Banktrojaner Astaroth (Guildma) ausliefert. Nach der Installation legt die Malware Hilfsdateien an, verankert sich im Autostart und startet ein bösartiges AutoIt-Skript, das sich als gewöhnliche .log-Datei tarnt. Laut Sophos treten die meisten Infektionen in Brasilien auf, und die Taktiken wechseln in hohem Tempo – ganz im Stil dieser Kampagne, die konsequent auf schnelle Richtungswechsel setzt.