Эксперты компании Sophos выявили новую массированную кибератаку с использованием банковского трояна Astaroth, распространяемого через мессенджер WhatsApp (принадлежит корпорации Meta, признанной в РФ экстремистской организацией и запрещенной).

Эта кампания, получившая кодовое название STAC3150, началась 24 сентября 2025 года и уже затронула сотни пользователей. Злоумышленники рассылают фишинговые сообщения на португальском языке, которые содержат вредоносные ZIP-архивы с файлами VBS или HTA. При запуске этих файлов активируется PowerShell, который загружает дополнительные вредоносные модули.

Изначально троян взаимодействовал с командными серверами через протокол IMAP. Однако в октябре схема изменилась: теперь загрузка вредоносных компонентов осуществляется по HTTP, а трафик направляется на C2-сервер varegjopeaks[.]com. После этого PowerShell- или Python-скрипты перехватывают активные веб-сессии WhatsApp.

По данным Sophos, киберпреступники используют инструменты Selenium WebDriver и библиотеку WPPConnect. Это позволяет им извлекать токены пользовательских сессий, получать доступ к спискам контактов жертв и автоматически рассылать зараженные ZIP-файлы, значительно ускоряя распространение вредоносного ПО.

Ранее «Петербургский дневник» рассказывал, что в Роскомнадзоре предупредили о вероятности полной блокировки WhatsApp. Подробнее читайте здесь.