STAC3150 lovește pe WhatsApp: phishing, Selenium și troianul bancar Astaroth

Specialiștii Sophos au depistat o campanie amplă de distribuire de malware care circulă prin WhatsApp. Operațiunea, denumită STAC3150, este activă din 24 septembrie 2025 și a afectat deja peste 250 de utilizatori. Infrastructura atacatorilor rămâne într-o continuă schimbare, iar arsenalul de instrumente este actualizat frecvent, ceea ce transformă campania într-o țintă alunecoasă pentru apărători. Tabloul sugerează o ofensivă care se adaptează din mers, cu intenția clară de a rămâne greu de prins.

Atacul pornește de la un mesaj de tip phishing în portugheză. Destinatarul este îndemnat să deschidă un fișier „pentru o vizualizare unică”, însă, în loc de document, primește o arhivă ZIP. În interior se află scripturi VBS sau HTA care pornesc PowerShell și descarcă module malițioase suplimentare. Momeala e simplă și directă, ceea ce o ajută să se piardă în traficul cotidian de chat; nu e greu de înțeles de ce prinde.

La sfârșit de septembrie, aceste module comunicau cu serverele operatorilor prin IMAP, extrăgând etapa a doua din căsuțe poștale pregătite special. La început de octombrie, schema s-a schimbat: descărcările au început să vină printr-o conexiune HTTP către domeniul varegjopeaks[.]com. De acolo, intră în scenă scripturi PowerShell și Python, care folosesc Selenium WebDriver și WPPConnect pentru a automatiza interceptarea sesiunilor WhatsApp Web. Asta permite furtul de tokenuri, copierea listelor de contacte și răspândirea automată a arhivelor ZIP infectate către următorul val de victime — transformând conturile compromise în amplificatoare involuntare. O strategie care mizează pe automatizare pentru a scalează rapid atacurile.

Până la final de octombrie, campania a evoluat din nou: atacatorii au introdus un pachet MSI care livrează troianul bancar Astaroth (Guildma). După instalare, acesta creează fișiere auxiliare, se adaugă la pornirea sistemului și lansează un script AutoIt malițios, mascat ca un fișier .log obișnuit. Potrivit Sophos, cele mai multe infectări detectate sunt în Brazilia, iar tactica se schimbă într-un ritm alert — un tempo care confirmă tiparul mai larg al acestor pivotări rapide și îi lasă pe apărători în contratimp.