Хакеры распространяют в Рунете вирус Astaroth через WhatsApp

В последние недели специалисты по кибербезопасности фиксируют резкий всплеск инцидентов, когда злоумышленники используют мессенджер WhatsApp для доставки банковского вредоносного ПО. Компания Sophos в отчёте описала, как преступники эволюционировали тактику, упаковывая опасные файлы в сжатые архивы и маскируя их под безвредные вложения.

Аналитики Sophos отмечают, что атака стартует с невинного на вид сообщения в WhatsApp, где предлагают скачать ZIP-архив с якобы срочным документом или отчётом. Такие приманки часто маскируют под «просмотр один раз», чтобы побудить получателя открыть файл именно на компьютере, а не на смартфоне.

Внутри архива скрывается скрипт на VBS или HTA, который при активации запускает цепочку команд в PowerShell. Эта последовательность незаметно загружает дополнительные компоненты, включая сборщик данных из сессий мессенджера.

К концу октября схема усложнилась: теперь в ход идёт MSI-пакет, который незаметно интегрирует полную версию трояна Astaroth, известного также как Guildma. Этот вредонос размещает исполняемые модули в скрытых папках системы, настраивает их на автозагрузку через реестр и активирует связь с удалёнными серверами. По данным Sophos, такая инфраструктура позволяет трояну красть учётные записи банков, криптокошельков и даже контакты из WhatsApp, передавая всё на серверы вроде manoelimoveiscaioba[.]com.

Особый приём в этой кампании — внедрение скрипта на AutoIt, который прячется за маской текстового журнала с расширением .log. Этот элемент отвечает за начальную авторизацию с центром управления атакующими и последующую инъекцию новых порций кода. Эксперты Sophos в своём исследовании подчёркивают, что такая маскировка делает обнаружение почти невозможным для стандартных антивирусов, особенно если жертва не проверяет свойства файлов.

*Мессенджер WhatsApp принадлежит запрещенной и признанной экстремистской в России Meta.