Danny Weber
00:02 26-11-2025
© E. Vartanyan
Sophos varnar för skadeprogramkampanjen STAC3150 som kapar WhatsApp Web via ZIP-filer och PowerShell. Slutmålet: banktrojanen Astaroth. Se taktik och skydd.
Sophos experter har upptäckt en omfattande skadeprogramkampanj som sprids via WhatsApp. Operationen, döpt till STAC3150, har varit aktiv sedan 24 september 2025 och har redan drabbat över 250 användare. Angriparna håller sin infrastruktur i ständig förändring och uppdaterar verktygen ofta, vilket gör kampanjen till en rörlig måltavla för försvararna.
Angreppet inleds med ett nätfiskemeddelande på portugisiska. Mottagaren uppmanas att öppna en fil för engångsvisning, men får i stället ett ZIP-arkiv. Inuti finns VBS- eller HTA-skript som startar PowerShell och laddar ner ytterligare skadliga moduler. Lockbetet är enkelt och rakt, något som sannolikt gör att det smälter in i vardagligt chattbrus. Inget överdåd – bara effektivt hantverk.
I slutet av september kommunicerade dessa moduler med operatörernas servrar över IMAP och hämtade nästa steg från särskilt förberedda brevlådor. I början av oktober ändrades upplägget: hämtningarna började ske via en HTTP-anslutning till domänen varegjopeaks[.]com. Därifrån tar PowerShell- och Python-skript över, använder Selenium WebDriver och WPPConnect för att automatisera kapning av WhatsApp Web-sessioner. Det möjliggör stöld av token, kopiering av kontaktlistor och automatiserad spridning av infekterade ZIP-arkiv till nästa våg av offer – komprometterade konton blir ovetande megafoner.
Mot slutet av oktober tog kampanjen ytterligare ett steg när angriparna introducerade en MSI-installation som levererar banktrojanen Astaroth (Guildma). Efter installation skapas hjälpfiler, programmet lägger till sig självt i autostarten och startar ett skadligt AutoIt-skript förklätt till en vanlig .log-fil. Enligt Sophos finns de flesta upptäckta infektionerna i Brasilien, och taktiken skiftar i hög takt – ett tempo som matchar kampanjens mönster av snabba omsvängningar.