https://pepelac.news/hu/posts/id12694-stac3150-whatsapp-kartevohadjarat-sophos-riaszt-astaroth

STAC3150: WhatsApp-kártevőhadjárat, Sophos riaszt – Astaroth

Sophos riaszt: a STAC3150 WhatsApp-kártevőkampány Astarothot is terjeszt

STAC3150: WhatsApp-kártevőhadjárat, Sophos riaszt – Astaroth

A Sophos leleplezte a STAC3150 WhatsApp-kampányt: portugál adathalászat, ZIP-es VBS/HTA és PowerShell, Selenium+WPPConnect, Astaroth (Guildma) telepítő.

2025-11-26T00:08:18+03:00

A Sophos szakemberei nagyszabású, WhatsAppon terjedő kártevőkampányt azonosítottak. A STAC3150 kódnevű művelet 2025. szeptember 24. óta aktív, és már több mint 250 felhasználót érintett. A támadók folyamatosan változtatják infrastruktúrájukat és sűrűn frissítik az eszköztárukat, így a védekezők számára mozgó célponttá teszik az akciót.A fertőzési lánc portugál nyelvű adathalász üzenettel indul. A címzettet arra veszik rá, hogy nyisson meg egy fájlt, amelyet állítólag csak egyszer lehet megtekinteni, ám dokumentum helyett ZIP-archívum érkezik. Benne VBS- vagy HTA-szkriptek indítják a PowerShellt, és további kártékony modulokat húznak le. A csali szándékosan egyszerű és egyenes, ami érthetően beleolvad a mindennapi csevegések zajába.Szeptember végén ezek a modulok IMAP-on keresztül kommunikáltak az üzemeltetők szervereivel, a második fázist speciálisan előkészített postafiókokból bontva ki. Október elején váltottak: a letöltések már HTTP-kapcsolaton át, a varegjopeaks[.]com domainek felől érkeztek. Innen PowerShell- és Python-szkriptek veszik át az irányítást, Selenium WebDrivert és WPPConnectet használva a WhatsApp webes munkamenetek automatizált elfogására. Ez lehetővé teszi a tokenek eltulajdonítását, a névjegylisták lemásolását, valamint a fertőzött ZIP-archívumok automatikus továbbküldését az újabb áldozatoknak — a kompromittált fiókok így akaratlan erősítőkké válnak.Október végére újabb fordulat következett: a támadók MSI-telepítőt vezettek be, amely az Astaroth (Guildma) banki trójait telepíti. A telepítés után segédfájlok jönnek létre, a kártevő beírja magát az automatikus indításba, majd elindít egy rosszindulatú AutoIt-szkriptet, amelyet hétköznapi .log fájlnak álcáztak. A Sophos szerint a legtöbb észlelt fertőzés Brazíliában található, a taktikák pedig villámgyorsan változnak — ez a tempó hűen tükrözi a hadjárat sűrű és kiszámíthatatlan irányváltásait.

STAC3150, WhatsApp kártevő, Sophos, Astaroth, Guildma, banki trójai, adathalászat, VBS, HTA, PowerShell, Selenium, WPPConnect, IMAP C2, HTTP letöltés, MSI telepítő, Brazília

2025

Danny Weber

news

Sophos riaszt: a STAC3150 WhatsApp-kártevőkampány Astarothot is terjeszt

A Sophos leleplezte a STAC3150 WhatsApp-kampányt: portugál adathalászat, ZIP-es VBS/HTA és PowerShell, Selenium+WPPConnect, Astaroth (Guildma) telepítő.

Danny Weber, Editor

00:08 26-11-2025

A fertőzési lánc portugál nyelvű adathalász üzenettel indul. A címzettet arra veszik rá, hogy nyisson meg egy fájlt, amelyet állítólag csak egyszer lehet megtekinteni, ám dokumentum helyett ZIP-archívum érkezik. Benne VBS- vagy HTA-szkriptek indítják a PowerShellt, és további kártékony modulokat húznak le. A csali szándékosan egyszerű és egyenes, ami érthetően beleolvad a mindennapi csevegések zajába.

Szeptember végén ezek a modulok IMAP-on keresztül kommunikáltak az üzemeltetők szervereivel, a második fázist speciálisan előkészített postafiókokból bontva ki. Október elején váltottak: a letöltések már HTTP-kapcsolaton át, a varegjopeaks[.]com domainek felől érkeztek. Innen PowerShell- és Python-szkriptek veszik át az irányítást, Selenium WebDrivert és WPPConnectet használva a WhatsApp webes munkamenetek automatizált elfogására. Ez lehetővé teszi a tokenek eltulajdonítását, a névjegylisták lemásolását, valamint a fertőzött ZIP-archívumok automatikus továbbküldését az újabb áldozatoknak — a kompromittált fiókok így akaratlan erősítőkké válnak.

Október végére újabb fordulat következett: a támadók MSI-telepítőt vezettek be, amely az Astaroth (Guildma) banki trójait telepíti. A telepítés után segédfájlok jönnek létre, a kártevő beírja magát az automatikus indításba, majd elindít egy rosszindulatú AutoIt-szkriptet, amelyet hétköznapi .log fájlnak álcáztak. A Sophos szerint a legtöbb észlelt fertőzés Brazíliában található, a taktikák pedig villámgyorsan változnak — ez a tempó hűen tükrözi a hadjárat sűrű és kiszámíthatatlan irányváltásait.