Sophos: Киберпреступники начали рассылку трояна Astaroth через WhatsApp

Кибермошенники начали рассылать через мессенджер WhatsApp (принадлежащий компании Meta Platforms Inc.*, признанной экстремистской организацией) вредоносные ZIP-архивы, содержащие обновлённую версию банковского трояна Astaroth (известного также как Guildma).

Об этом сообщает исследование компании Sophos.

По данным специалистов, получатели таких сообщений получают ZIP-файлы с MSI-установщиком, который после запуска внедряет на компьютер полноценный троян. Программа записывает несколько исполняемых файлов в системные каталоги Windows и настраивает их автозапуск через реестр.

Новая волна атак отличается применением скрипта AutoIt, замаскированного под обычный лог-файл с расширением .log. Этот компонент обеспечивает связь с сервером злоумышленников и загружает дополнительные вредоносные модули.

Основной удар кампании пришёлся на пользователей в Бразилии, где Astaroth традиционно наиболее активен. Эксперты Sophos отмечают, что масштабы рассылки и постоянное обновление методов делают вредонос особенно опасным для частных и корпоративных систем.

Специалисты советуют проявлять осторожность при открытии архивов, полученных через мессенджеры, даже от знакомых отправителей.