ソフォスが確認したWhatsApp経由の大規模マルウェアSTAC3150を詳報。ポルトガル語フィッシング、ZIP経由のVBS/HTAとPowerShell、Selenium+WPPConnectでのトークン窃取、Astaroth投入までを解説。ブラジル中心の検知と急速な戦術切り替えにも注意。被害拡大を防ぐ対策も紹介。
© E. Vartanyan
ソフォスの研究者らは、WhatsAppを経由して広がる大規模なマルウェア拡散を確認した。作戦名はSTAC3150。2025年9月24日から動き出し、すでに250人超のユーザーに影響が及んでいるという。攻撃側はインフラを次々と組み替え、ツールも頻繁に刷新。防御する側からすれば、狙いを絞りにくい「動く標的」になっている。
攻撃はポルトガル語のフィッシングメッセージから始まる。受信者に一度だけ閲覧するよう促し、文書のはずがZIPアーカイブを開かせる流れだ。中にはVBSやHTAのスクリプトが仕込まれており、PowerShellを起動して追加の不正モジュールを引き下ろす。仕掛けは単純明快で、日常のチャットに紛れ込みやすいのが厄介だ。
9月下旬には、これらのモジュールがIMAP経由でオペレーター側のサーバーと通信し、特別に用意されたメールボックスから第2段階のペイロードを取り出していた。ところが10月初旬には構図が変わり、ダウンロードはHTTPでvaregjopeaks[.]comドメインから行われるようになる。以後はPowerShellとPythonのスクリプトが主導し、Selenium WebDriverとWPPConnectを使ってWhatsApp Webのセッションを自動で傍受。これによってトークンの窃取や連絡先リストのコピーが可能になり、感染したZIPを次の相手へ自動的に送り付けていく。結果として、侵害されたアカウントが意図せぬ拡声器にされてしまう。
10月下旬には、攻撃はさらに一段深まり、Astaroth(Guildma)と呼ばれるバンキング型トロイの木馬を運ぶMSIインストーラーが投入された。インストール後は補助ファイルを作成し、スタートアップに自身を登録、平凡な.logファイルに見せかけた悪意あるAutoItスクリプトを起動する。ソフォスによれば、検知の多くはブラジルで、戦術の切り替えは目まぐるしい。急旋回を繰り返すキャンペーンの性格が、そのペースに表れている。