臭名昭著的巴西银行恶意软件Astaroth再度完成迭代升级,此次它将目标瞄准全球最主流的即时通讯平台之一,把该平台变成了传播恶意程序的武器。安克诺斯威胁研究团队(Acronis Threat Research Unit)发现,在这场代号为 **“粉河豚(Boto Cor-de-Rosa)”** 的新型攻击活动中,该恶意软件借助网页版 WhatsApp 进行传播,自动向受害者的联系人列表群发恶意消息。
这种攻击路径的转变,标志着银行恶意软件的发展进入了令人担忧的新阶段 —— 其不再局限于传统的邮件钓鱼诱饵,转而利用个人即时通讯场景中天然存在的信任关系实施攻击。
尽管 Astaroth 多年来一直困扰着巴西地区的用户,但此次最新变种新增了一个基于 Python 语言开发、专为 WhatsApp 定制的蠕虫模块。攻击的感染流程始于受害者通过即时通讯软件接收到一个恶意 ZIP 压缩包。
报告指出:“该恶意压缩包的文件名会随每次攻击发生变化,但始终遵循固定命名模式 —— 由数字和十六进制字符组合而成,不同字符段之间用下划线和短横线分隔”,并举例给出样本文件名,例如
552_516107-a9af16a8-552.zip。一旦受害者解压该文件,并运行其中经过伪装的 Visual Basic 脚本,这款恶意软件就会在设备中扎根。但与以往仅窃取账号凭证的攻击目的不同,此次变种会将受感染的设备直接变成一台垃圾消息发送机器人。
这个新增模块的核心目标是实现恶意软件的大规模传播。它会劫持受害者的网页版 WhatsApp 会话,获取其联系人列表,然后自动向列表中的每一位联系人发送恶意消息,以此扩大感染范围。
这款恶意软件的攻击流程极具条理性。它会定期向攻击者的控制端上报攻击数据,统计内容包括成功发送的恶意消息数量、发送失败的尝试次数,以及以 “每分钟发送消息数” 为指标的传播速率。
它甚至具备自我效能计算能力。报告提到:“每发送 50 条消息后,该脚本就会自动计算已处理联系人的占比,以及当前的传播吞吐量”,确保攻击者能够实时掌握恶意软件的扩散态势。
此次攻击的危害不止于恶意软件传播,还会造成严重的隐私泄露。报告披露,该恶意软件组件会将受害者的联系人列表窃取并上传至远程服务器,让攻击者获得一批有效的手机号码资源,为后续攻击行动储备目标数据。
从技术架构来看,Astaroth 仍然属于 **“多语言模块化”** 的恶意威胁。其核心攻击载荷依旧由 Delphi 语言编写,安装程序则采用 Visual Basic 语言开发,而新增的 WhatsApp 蠕虫模块则完全基于 Python 语言实现。
这种多技术栈融合的特点,凸显出威胁行为体的技术适配能力正在不断增强。研究人员发出警示:“Astaroth 将即时通讯平台传播机制与银行凭证窃取功能相结合,这一特性代表了恶意软件演进过程中一个值得高度警惕的趋势”。攻击者通过将技术创新与 “熟人文件传输带来的心理诱导” 相结合,大幅提升了攻击的成功率。
此次攻击行动也为所有用户敲响警钟:社交平台中的信任关系,完全可能被恶意行为体利用。报告在结尾强调:“该攻击活动凸显了用户保持警惕的重要性,尤其是在通过即时通讯平台接收陌生文件时,更需严加甄别”。
企业与个人都必须突破 “仅关注邮件安全” 的防护局限,要意识到,下一个重大安全威胁很可能就潜藏在来自好友的聊天窗口之中。
发表评论
您还未登录,请先登录。
登录