Danny Weber
23:57 25-11-2025
© E. Vartanyan
Les chercheurs de Sophos détaillent STAC3150, une attaque malware via WhatsApp: hameçonnage, ZIP VBS/HTA, PowerShell, vol de jetons, puis Astaroth au Brésil.
Les spécialistes de Sophos ont repéré une vaste offensive de logiciels malveillants qui circule via WhatsApp. L’opération, baptisée STAC3150, est active depuis le 24 septembre 2025 et a déjà touché plus de 250 utilisateurs. Les attaquants maintiennent une infrastructure mouvante et renouvellent fréquemment leurs outils, transformant la campagne en cible difficile à verrouiller pour les défenseurs.
L’attaque débute par un message d’hameçonnage en portugais. La victime est invitée à ouvrir un fichier présenté comme à usage unique, mais reçoit à la place une archive ZIP. À l’intérieur, des scripts VBS ou HTA déclenchent PowerShell et récupèrent des modules malveillants supplémentaires. Un leurre aussi dépouillé se fond facilement dans le flux des conversations quotidiennes.
Fin septembre, ces modules communiquaient avec les serveurs des opérateurs via IMAP, en extrayant la seconde étape depuis des boîtes aux lettres préparées à cet effet. Début octobre, le procédé a basculé: les téléchargements ont commencé à passer par une connexion HTTP vers le domaine varegjopeaks[.]com. À partir de là, des scripts PowerShell et Python prennent le relais, en s’appuyant sur Selenium WebDriver et WPPConnect pour automatiser l’interception des sessions WhatsApp Web. De quoi permettre le vol de jetons, la copie des listes de contacts et la diffusion automatisée d’archives ZIP infectées vers la prochaine vague de victimes, faisant des comptes compromis des amplificateurs involontaires.
À la fin octobre, la campagne a de nouveau évolué avec l’introduction d’un installateur MSI qui déploie le cheval de Troie bancaire Astaroth (Guildma). Une fois installé, il crée des fichiers auxiliaires, s’ajoute au démarrage et lance un script AutoIt malveillant, masqué en simple fichier .log. Selon Sophos, la plupart des infections détectées se trouvent au Brésil, et les tactiques changent à un rythme soutenu — une cadence conforme au schéma plus large de basculements rapides qui caractérise cette opération.