Sophos 分析师正在追踪一场针对巴西 WhatsApp 用户的 持续性且快速演变的恶意软件分发活动。攻击者利用伪造的“一次性查看”消息、恶意压缩包附件、劫持的 WhatsApp Web 会话以及臭名昭著的 Astaroth(Guildma)银行木马。这场被正式标记为 STAC3150 的活动自 2025 年 9 月 24 日起活跃,已影响超过 250 名客户。
攻击链流程为:WhatsApp 钓鱼 → 恶意压缩包 → VBS/HTA 下载器 → C2 服务器 → WhatsApp 会话劫持 → Astaroth 部署。
诱饵包含友好的葡萄牙语消息,例如:
(原文未提供具体消息示例,此处保持结构)
所谓的“文件”实际上是一个 ZIP 压缩包,内含:
- 恶意 VBS 脚本,或
- 恶意 HTA 文件
执行后,这些文件会启动 PowerShell 以获取更多 payload。
9 月下旬,威胁行为者使用 IMAP 从攻击者电子邮件账户中拉取 payload:“PowerShell 被用于通过 IMAP 从攻击者控制的电子邮件账户检索第二阶段 payload。”
然而,到 10 月初,活动发生转变:“活动转向基于 HTTP 的通信……联系托管在 https://www.varegjopeaks.com 的远程命令与控制(C2)服务器。”
第二阶段的 PowerShell 或 Python 脚本(并列展示)会自动执行 WhatsApp Web 会话窃取。
Sophos 解释道:“该脚本使用 Selenium Chrome WebDriver 和 WPPConnect JavaScript 库来劫持 WhatsApp Web 会话、收集联系信息和会话令牌,并协助垃圾邮件分发。”
这使攻击者能够:
- 向新受害者发送恶意 ZIP
- 窃取会话 cookie
- 收集完整的 WhatsApp 联系人列表
- 大规模重新激活感染周期
到 10 月底,攻击变得更加激进:“第二阶段文件开始包含一个 MSI 文件(installer.msi ),用于分发 Astaroth 恶意软件。”
此 MSI 安装程序会:
- 将多个文件写入磁盘
- 创建启动注册表项(持久化)
- 执行伪装成 .log 文件的恶意 AutoIt 脚本
Sophos 指出:“恶意软件与托管在 manoelimoveiscaioba.com 的 C2 服务器通信。”
该活动已感染超过 250 台客户设备,绝大多数位于巴西。
发表评论
您还未登录,请先登录。
登录