Operazione STAC3150 su WhatsApp: phishing, PowerShell e trojan Astaroth

Gli specialisti di Sophos hanno individuato una campagna malware su larga scala che corre attraverso WhatsApp. L’operazione, denominata STAC3150, è attiva dal 24 settembre 2025 e ha già colpito più di 250 utenti. Gli aggressori mantengono l’infrastruttura in costante cambiamento e aggiornano spesso il proprio arsenale, trasformando l’intera operazione in un bersaglio in continuo movimento.

L’attacco parte con un messaggio di phishing in portoghese. Alla vittima viene chiesto di aprire un file “per una sola visualizzazione”, ma al posto di un documento riceve un archivio ZIP. All’interno si trovano script VBS o HTA che avviano PowerShell e scaricano ulteriori moduli malevoli. L’esca è essenziale e diretta, proprio quel tipo di trucco che si mescola senza fatica al traffico quotidiano delle chat.

Alla fine di settembre, questi moduli comunicavano con i server degli operatori via IMAP, recuperando la seconda fase da caselle di posta preparate ad hoc. A inizio ottobre lo schema è cambiato: i download sono passati su connessione HTTP verso il dominio varegjopeaks[.]com. Da lì entrano in gioco script PowerShell e Python che usano Selenium WebDriver e WPPConnect per automatizzare l’intercettazione delle sessioni di WhatsApp Web. Questo permette il furto di token, la copia delle rubriche e la diffusione automatica di archivi ZIP infetti alla “prossima ondata” di destinatari, trasformando gli account compromessi in amplificatori inconsapevoli.

Verso fine ottobre la campagna si è evoluta di nuovo: gli aggressori hanno introdotto un installer MSI che consegna il trojan bancario Astaroth (Guildma). Dopo l’installazione, crea file ausiliari, si aggiunge all’avvio del sistema e lancia uno script AutoIt malevolo camuffato da un comune file .log. Secondo Sophos, la maggior parte delle infezioni rilevate si trova in Brasile e le tattiche stanno cambiando a un ritmo serrato, in linea con il modello di continue rapide virate che caratterizza l’operazione.