- 23,409
- 46
- 8 Ноя 2022
Astaroth рассылает себя контактам автоматически, даже не требуя участия человека.
В Бразилии зафиксирована новая вредоносная кампания, в рамках которой активно используется мессенджер WhatsApp для распространения банковского трояна Astaroth. Этот способ доставки вредоносного ПО особенно эффективен из-за популярности приложения в стране. По данным команды Acronis, атака получила внутреннее название Boto Cor-de-Rosa.
Заражение начинается с того, что пользователю приходит сообщение с вложением в виде ZIP-архива. После извлечения содержимого открывается скрипт на Visual Basic, замаскированный под безобидный файл. При запуске он инициирует загрузку следующих компонентов, включая модуль для распространения вредоноса и основную вредоносную часть.
Программа функционирует по двухэтапной схеме. Первый модуль, написанный на Python, получает доступ к списку контактов в WhatsApp и рассылает каждому из них тот же вредоносный архив, что позволяет трояну быстро распространяться по цепочке. Второй модуль работает в фоновом режиме, отслеживая действия пользователя в браузере, и активируется при переходе на сайты банков, чтобы похищать данные для входа и совершения финансовых операций.
Кроме того, вредоносное ПО содержит встроенные механизмы для отслеживания эффективности заражения. В реальном времени оно собирает статистику: количество успешно отправленных сообщений, число неудачных попыток и скорость рассылки.
По информации Acronis, вредоносная активность наблюдается с конца сентября 2025 года. Основной целью остаются пользователи в Бразилии , на долю которых приходится более 95% всех заражений. Остальные случаи зафиксированы в США и Австрии. Эти атаки продолжают ранее выявленную цепочку распространения Astaroth, в рамках которой применяются многоступенчатые механизмы заражения, включая скрипты на PowerShell и Python, а также установочные файлы формата MSI.
Ранее аналогичный подход использовали группы, отслеживаемые как Water Saci и PINEAPPLE. Они также применяли рассылку через мессенджер, чтобы заражать пользователей вредоносами Maverick и Casbaneiro. Постепенное внедрение многоязычных компонентов и адаптация к наиболее популярным каналам связи демонстрируют растущую техническую оснащённость злоумышленников и их ориентацию на массовое заражение через повседневные цифровые привычки пользователей.
В Бразилии зафиксирована новая вредоносная кампания, в рамках которой активно используется мессенджер WhatsApp для распространения банковского трояна Astaroth. Этот способ доставки вредоносного ПО особенно эффективен из-за популярности приложения в стране. По данным команды Acronis, атака получила внутреннее название Boto Cor-de-Rosa.
Заражение начинается с того, что пользователю приходит сообщение с вложением в виде ZIP-архива. После извлечения содержимого открывается скрипт на Visual Basic, замаскированный под безобидный файл. При запуске он инициирует загрузку следующих компонентов, включая модуль для распространения вредоноса и основную вредоносную часть.
Программа функционирует по двухэтапной схеме. Первый модуль, написанный на Python, получает доступ к списку контактов в WhatsApp и рассылает каждому из них тот же вредоносный архив, что позволяет трояну быстро распространяться по цепочке. Второй модуль работает в фоновом режиме, отслеживая действия пользователя в браузере, и активируется при переходе на сайты банков, чтобы похищать данные для входа и совершения финансовых операций.
Кроме того, вредоносное ПО содержит встроенные механизмы для отслеживания эффективности заражения. В реальном времени оно собирает статистику: количество успешно отправленных сообщений, число неудачных попыток и скорость рассылки.
По информации Acronis, вредоносная активность наблюдается с конца сентября 2025 года. Основной целью остаются пользователи в Бразилии , на долю которых приходится более 95% всех заражений. Остальные случаи зафиксированы в США и Австрии. Эти атаки продолжают ранее выявленную цепочку распространения Astaroth, в рамках которой применяются многоступенчатые механизмы заражения, включая скрипты на PowerShell и Python, а также установочные файлы формата MSI.
Ранее аналогичный подход использовали группы, отслеживаемые как Water Saci и PINEAPPLE. Они также применяли рассылку через мессенджер, чтобы заражать пользователей вредоносами Maverick и Casbaneiro. Постепенное внедрение многоязычных компонентов и адаптация к наиболее популярным каналам связи демонстрируют растущую техническую оснащённость злоумышленников и их ориентацию на массовое заражение через повседневные цифровые привычки пользователей.
- Источник новости
- www.securitylab.ru
