https://pepelac.news/nl/posts/id12688-whatsapp-malwarecampagne-stac3150-ontmaskerd-door-sophos

WhatsApp-malwarecampagne STAC3150 ontmaskerd door Sophos

Sophos onthult grootschalige WhatsApp-malwareaanval STAC3150

WhatsApp-malwarecampagne STAC3150 ontmaskerd door Sophos

Onderzoek van Sophos beschrijft STAC3150: een WhatsApp-malwareaanval via phishing, PowerShell en sessiekaping, die eind oktober zelfs Astaroth uitrolt.

2025-11-26T00:01:25+03:00

Specialisten van Sophos hebben een grootschalige malwareaanval via WhatsApp in kaart gebracht. De operatie, STAC3150, is actief sinds 24 september 2025 en heeft al meer dan 250 gebruikers getroffen. De aanvallers houden hun infrastructuur voortdurend in beweging en verversen hun gereedschap regelmatig, waardoor verdedigers steeds achter een bewegend doelwit aan moeten.De aanval begint met een phishingbericht in het Portugees. De ontvanger wordt aangespoord een bestand “eenmalig te bekijken”, maar krijgt in werkelijkheid een ZIP-archief. Daarin zitten VBS- of HTA-scripts die PowerShell starten en extra kwaadaardige modules binnenhalen. De lokker is simpel en direct; juist daardoor mengt hij zich gemakkelijk in het alledaagse chatverkeer.Eind september communiceerden die modules via IMAP met servers van de operators en haalden ze de tweede fase uit speciaal ingerichte mailboxen. Begin oktober schoof het plan op: downloads kwamen voortaan via een HTTP-verbinding met het domein varegjopeaks[.]com. Vanaf daar nemen PowerShell- en Python-scripts het over, met Selenium WebDriver en WPPConnect om WhatsApp Web-sessies geautomatiseerd te onderscheppen. Dat maakt diefstal van tokens mogelijk, het kopiëren van contacten en de automatische verspreiding van geïnfecteerde ZIP-archieven naar een volgende golf slachtoffers, waarbij gecompromitteerde accounts onbewust als versterker dienen.Tegen eind oktober kreeg de campagne opnieuw een wending: de aanvallers introduceerden een MSI-installer die de banktrojan Astaroth (Guildma) uitrolt. Na installatie worden hulpbestanden aangemaakt, wordt verankering bij het opstarten geregeld en start een kwaadaardig AutoIt-script dat zich voordoet als een gewoon .log-bestand. Volgens Sophos worden de meeste infecties in Brazilië gedetecteerd, en veranderen de tactieken in hoog tempo—een ritme dat past bij het bredere patroon van snelle koerswijzigingen.

WhatsApp malware, STAC3150, Sophos, phishing, PowerShell, Selenium WebDriver, WPPConnect, token diefstal, Astaroth, Guildma, banktrojan, Brazilië, IMAP, ZIP, HTA, VBS, Python, WhatsApp Web

2025

Danny Weber

news

Sophos onthult grootschalige WhatsApp-malwareaanval STAC3150

Onderzoek van Sophos beschrijft STAC3150: een WhatsApp-malwareaanval via phishing, PowerShell en sessiekaping, die eind oktober zelfs Astaroth uitrolt.

Danny Weber, Editor

00:01 26-11-2025

De aanval begint met een phishingbericht in het Portugees. De ontvanger wordt aangespoord een bestand “eenmalig te bekijken”, maar krijgt in werkelijkheid een ZIP-archief. Daarin zitten VBS- of HTA-scripts die PowerShell starten en extra kwaadaardige modules binnenhalen. De lokker is simpel en direct; juist daardoor mengt hij zich gemakkelijk in het alledaagse chatverkeer.

Eind september communiceerden die modules via IMAP met servers van de operators en haalden ze de tweede fase uit speciaal ingerichte mailboxen. Begin oktober schoof het plan op: downloads kwamen voortaan via een HTTP-verbinding met het domein varegjopeaks[.]com. Vanaf daar nemen PowerShell- en Python-scripts het over, met Selenium WebDriver en WPPConnect om WhatsApp Web-sessies geautomatiseerd te onderscheppen. Dat maakt diefstal van tokens mogelijk, het kopiëren van contacten en de automatische verspreiding van geïnfecteerde ZIP-archieven naar een volgende golf slachtoffers, waarbij gecompromitteerde accounts onbewust als versterker dienen.

Tegen eind oktober kreeg de campagne opnieuw een wending: de aanvallers introduceerden een MSI-installer die de banktrojan Astaroth (Guildma) uitrolt. Na installatie worden hulpbestanden aangemaakt, wordt verankering bij het opstarten geregeld en start een kwaadaardig AutoIt-script dat zich voordoet als een gewoon .log-bestand. Volgens Sophos worden de meeste infecties in Brazilië gedetecteerd, en veranderen de tactieken in hoog tempo—een ritme dat past bij het bredere patroon van snelle koerswijzigingen.