STAC3150-kampanja kaappaa WhatsApp Web -istuntoja ja levittää Astaroth-troijaa

Sophosin asiantuntijat ovat havainneet laajamittaisen haittaohjelma-aallon, joka kulkee WhatsAppin kautta. STAC3150:ksi nimetty operaatio on ollut käynnissä 24. syyskuuta 2025 lähtien ja on jo osunut yli 250 käyttäjään. Hyökkääjät pitävät infrastruktuurinsa jatkuvasti muuttuvana ja päivittävät työkalupakkiaan usein, mikä tekee kampanjasta puolustajille liikkuvan maalin.

Hyökkäys käynnistyy portugalinkielisellä tietojenkalasteluviestillä. Saajaa kehotetaan avaamaan tiedosto kertakatselua varten, mutta dokumentin sijaan hän saa ZIP-arkiston. Sen sisällä olevat VBS- tai HTA-skriptit käynnistävät PowerShellin ja lataavat lisää haitallisia moduuleja. Syötti on yksinkertainen ja suora, mikä auttaa sitä sulautumaan arjen keskusteluvirtaan — juuri tällaiset koukut lipsahtavat helposti ohi valppaudestakin.

Syyskuun lopussa nämä moduulit viestivät operaattorien palvelimille IMAPin yli ja hakivat toisen vaiheen erikseen valmistelluista postilaatikoista. Lokakuun alussa kaava muuttui: lataukset alkoivat tulla HTTP-yhteydellä osoitteesta varegjopeaks[.]com. Tämän jälkeen PowerShell- ja Python-skriptit ottivat ohjat, käyttäen Selenium WebDriveria ja WPPConnectia WhatsApp Web -istuntojen automatisoituun sieppaamiseen. Näin mahdollistetaan istuntotunnusten varastaminen, yhteystietolistojen kopiointi ja tartunnan saaneiden ZIP-arkistojen automaattinen levitys seuraaville uhreille — kaapatuista tileistä tulee huomaamattaan uusia levityskanavia.

Lokakuun loppua kohti kampanja muuntui jälleen, kun mukaan tuotiin MSI-asennuspaketti, joka toimittaa Astaroth (Guildma) -pankkitroijalaisen. Asennuksen jälkeen se luo apu­tiedostoja, lisää itsensä käynnistykseen ja käynnistää haitallisen AutoIt-skriptin, joka on naamioitu tavalliseksi .log-tiedostoksi. Sophosin mukaan valtaosa havaituista tartunnoista on Brasiliassa, ja taktiikat vaihtuvat ripeään tahtiin — vauhti, joka alleviivaa tekijöiden ketteryyttä eikä jätä puolustukselle juurikaan aikaa sopeutua.