Киберпреступники превратили WhatsApp в оружие массового заражения

Эксперты по кибербезопасности из ISH Tecnologia обнаружили новую многостадийную кампанию WhatsWorm, которая использует мессенджер WhatsApp для массового распространения вредоносного ПО. Особенностью атаки стало сочетание традиционных банковских троянов с самораспространяющимся червем, что значительно увеличивает масштаб потенциального заражения.

Описание

Кампания начинается с получения жертвой ZIP-архива через WhatsApp-сообщение от ранее зараженного контакта. Внутри архива находится вирусный скрипт VBS, который запускает сложную пятиэтапную цепочку заражения. Первая стадия использует PowerShell для загрузки установочного MSI-файла и создания среды Python, необходимой для функционирования основного червя.

На втором этапе MSI-установщик извлекает несколько файлов, включая VBS-скрипт, который запускает исполняемый файл jFqyDSPp.exe. Этот файл представляет собой интерпретатор AutoIT, выполняющий зашифрованный скрипт из файла с расширением LOG. Именно этот компонент действует как банковский троян и загрузчик финальной полезной нагрузки.

Третий этап демонстрирует высокий уровень технической сложности. Скрипт AutoIT собирает информацию о системе, проверяет установленные банковские приложения и антивирусные решения, а затем расшифровывает два финальных модуля. Для этого используется кастомный алгоритм шифрования на основе логических операций XOR, AND и SHIFT с последующей компрессией по алгоритму LZNT1.

Четвертая стадия представляет собой загрузчик M9FvfE.tda, который внедряет финальный payload в память процесса svchost.exe через технику Process Hollowing. Этот метод позволяет скрыть вредоносную активность от систем защиты конечных точек.

Финальным этапом становится развертывание Eternidade Stealer - банковского трояна, написанного на Delphi. Аналитики отмечают сходство с известным семейством Astaroth, однако Eternidade Stealer использует уникальный механизм коммуникации через IMAP-протокол. Для подключения к серверу управления применяется почтовый адрес oliveriraadriano33@terra.com.br с паролем Eternidade103@.

Особую опасность представляет компонент WhatsWorm, разработанный на Python. Исследователи предполагают участие языковых моделей в его создании, о чем свидетельствуют характерные комментарии в коде. Червеподобный модуль использует Selenium для автоматизации действий в браузере и крадет контакты из WhatsApp Web, после чего автономно рассылает вредоносные сообщения новым жертвам.

Эксперты выделили более 30 целевых банковских приложений и 20 криптовалютных платформ, включая бразильские и международные сервисы. Среди них Bradesco, Santander, Banco do Brasil, Binance и Coinbase. При этом кампания целенаправленно нацелена на бразильских пользователей - скрипт прекращает выполнение, если системный язык отличается от португальского.

По словам исследователей, данная кампания демонстрирует эволюцию методов киберпреступников, которые сочетают сложные цепочки заражения с социальной инженерией через популярные платформы. Автоматическое удаление артефактов значительно затрудняет расследование инцидентов и восстановление полной картины атаки.

Специалисты рекомендуют усилить обучение сотрудников по вопросам кибербезопасности и внедрить многоуровневую систему защиты. Критически важно не открывать подозрительные вложения от неизвестных контактов и использовать решения для мониторинга и обнаружения аномальной активности. Распространение атаки через доверенные каналы коммуникации требует особой бдительности от всех пользователей.