Эксперты компании Sophos обнаружили сложную многоэтапную кампанию по распространению вредоносного программного обеспечения, нацеленную на пользователей мессенджера WhatsApp в Бразилии. Активность, отслеживаемая как STAC3150, была впервые зафиксирована 24 сентября 2025 года. Злоумышленники рассылают сообщения с архивными вложениями, которые содержат скрипты-загрузчики для получения последующих вредоносных модулей. В начале октября исследователи уже сообщали о другой кампании в Бразилии, где злоумышленники использовали WhatsApp для распространения банковского троянца Maverick.
Описание
Кампания STAC3150 развивается по цепочке атаки. Сначала жертва получает сообщение через функцию «Просмотреть один раз» в WhatsApp. Сообщение содержит файл ZIP, в котором скрывается вредоносный VBS или HTA-файл. При его выполнении запускается PowerShell для загрузки следующих модулей. Среди них - скрипт на PowerShell или Python, предназначенный для сбора контактной информации и данных сессий WhatsApp. Позднее в кампанию добавился установщик MSI, доставляющий банковский троянец Astaroth, также известный как Guildma.
Изначально в конце сентября для получения второстепенных модулей использовался протокол IMAP, через который PowerShell обращался к контролируемому злоумышленниками почтовому ящику. Однако в начале октября способ коммуникации сменился на HTTP. Теперь применяется команда Invoke-WebRequest в PowerShell для связи с сервером управления и контроля (C2), размещенным на домене varegjopeaks[.]com.
Скрипт второго этапа, будь то PowerShell или Python, использует Selenium Chrome WebDriver и библиотеку WPPConnect. Это позволяет перехватывать сессии WhatsApp Web, собирать контакты и токены сессий, а также рассылать спам. Фактически, вредоносная программа действует как червь, самостоятельно распространяясь через контакты жертвы.
С конца октября в арсенале атакующих появился MSI-файл (installer.msi), который доставляет нагрузку (payload) в виде троянца Astaroth. Установщик записывает файлы на диск и создает запись в реестре для обеспечения постоянства. Вредоносная активность маскируется под AutoIt-скрипт, замаскированный под LOG-файл. Astaroth выходит на связь с C2-сервером на домене manoelimoveiscaioba[.]com, основной целью которого является кража учетных данных для финансовых операций.
По данным Sophos, кампания затронула более 250 клиентов. При этом около 95% инфицированных устройств находятся в Бразилии. Остальные случаи зафиксированы в других странах Латинской Америки, США и Австрии. География жертв подтверждает целенаправленный характер атаки на бразильских пользователей.
Данная кампания демонстрирует растущую изощренность киберпреступников, эксплуатирующих доверие к популярным мессенджерам. Сочетание фишинга, самокопирующегося функционала и многоступенчатой доставки нескольких вредоносных модулей делает угрозу особенно опасной. Пользователям следует проявлять крайнюю осторожность при получении любых подозрительных сообщений и архивных вложений, даже от известных контактов.
Индикаторы компрометации
Domains
- borizerefeicoes.com
- clhttradinglimited.com
- docsmoonstudioclayworks.online
- lefthandsuperstructures.com
- manoelimoveiscaioba.com
- miportuarios.com
- shopeeship.com
- varegjopeaks.com
