Danny Weber
00:03 26-11-2025
© E. Vartanyan
Sophos dokumenterer STAC3150, en WhatsApp-skadevarekampanje som stjeler tokens og sprer ZIP-filer; nå med Astaroth-trojaner og flest infeksjoner i Brasil.
Spesialister hos Sophos har oppdaget en omfattende skadevarekampanje som utnytter WhatsApp. Operasjonen, kalt STAC3150, har vært aktiv siden 24. september 2025 og har allerede rammet mer enn 250 brukere. Angriperne endrer kontinuerlig infrastruktur og oppdaterer verktøyene sine, noe som gjør kampanjen til et bevegelig mål for dem som forsøker å stanse den.
Angrepet starter med en phishing-melding på portugisisk. Mottakeren blir bedt om å åpne en fil for engangsvisning, men får i stedet et ZIP-arkiv. Der ligger VBS- eller HTA-skript som starter PowerShell og laster ned flere skadelige moduler. Lokkematen er enkel og rett på sak – nettopp derfor glir den trolig umerkelig inn i daglig chattrafikk.
I slutten av september kommuniserte disse modulene med operatørenes servere via IMAP og hentet andre fase fra spesialoppsatte postkasser. Tidlig i oktober skiftet opplegget: nedlastingene begynte å gå over en HTTP-tilkobling til domenet varegjopeaks[.]com. Derfra overtar PowerShell- og Python-skript som bruker Selenium WebDriver og WPPConnect til å automatisere avskjæring av WhatsApp Web-økter. Det muliggjør stjeling av tokens, kopiering av kontaktlister og automatisk spredning av infiserte ZIP-arkiver til neste bølge av ofre – slik blir kompromitterte kontoer uvitende forsterkere.
Mot slutten av oktober utviklet kampanjen seg igjen da angriperne tok i bruk en MSI-installasjonspakke som leverer banktrojaneren Astaroth (Guildma). Etter installasjon opprettes hjelpefiler, skadevaren legger seg til oppstart og starter et ondsinnet AutoIt-skript forkledd som en ordinær .log-fil. Ifølge Sophos er de fleste påviste infeksjonene i Brasil, og taktikken endres i høyt tempo – i tråd med kampanjens gjennomgående evne til raske helomvendinger.