Банковский троян Astaroth ведет атаки на россиян через WhatsApp

Компания Sophos объявила об обнаружении масштабной троянской активности Astaroth, осуществляемой через платформу известного мессенджера.

Эксперты Sophos идентифицировали новую схему распространения вредоносного банковского софта через мессенджер WhatsApp* (принадлежит Meta, которая признана экстремистской и запрещена в России). Кампания, получившая название STAC3150, действует с 24 сентября 2025 года и затронула сотни пользователей. Аналитики Sophos пояснили что злоумышленники оперативно совершенствуют инструменты и меняют свою инфраструктуру в режиме реального времени.

Атака начинается с фишингового сообщения на португальском языке, в котором пользователю предлагают посмотреть приложенный файл. На самом деле речь идет о ZIP-архиве, содержащем вредоносный VBS- или HTA-файл. После его запуска активируется PowerShell, загружающий дополнительные зловредные модули.

В конце сентября вредоносные нагрузки взаимодействовали с командными серверами атакующих нестандартным способом – через протокол IMAP. В начале октября схема изменилась: загрузка стала осуществляться через HTTP-соединение, а трафик был перенаправлен на C2-сервер varegjopeaks[.]com. Затем задействовались PowerShell- или Python-скрипты, предназначенные для автоматического перехвата веб-сессий WhatsApp.

Sophos сообщил, что злоумышленники используют Selenium WebDriver вместе с библиотекой WPPConnect. Это дает им возможность похищать токены сессий, извлекать списки контактов пользователей и автоматически отправлять зараженные ZIP-файлы новым жертвам, что значительно ускоряет распространение кампании.