Троян Astaroth теперь активно распространяется через WhatsApp

Киберпреступники нашли новый способ распространения трояна Astaroth, который ранее атаковал исключительно пользователей Windows. Теперь основной платформой для этой вредоносной программы стал мессенджер WhatsApp (принадлежит компании Meta, признанной в России экстремистской и запрещенной).

Специалисты по кибербезопасности из компании Acronis сообщили, что заражение начинается с одного компьютера, после чего троян получает доступ к контактам в WhatsApp и начинает массовую рассылку вредоносных сообщений. Злоумышленники добавили к трояну модуль, написанный на Python, что позволяет ему эффективно отправлять сообщения через WhatsApp. Процесс заражения начинается с получения ZIP-архива, содержащего вредоносный файл. При запуске этого файла активируется Visual Basic Script, который загружает дополнительные компоненты трояна. В конечном итоге пользователь сталкивается с двумя основными модулями: один отвечает за распространение, а другой предназначен для кражи банковских данных.

Модуль распространения активирует отправку вредоносных архивов через WhatsApp, в то время как банковский модуль отслеживает посещения сайтов и приложений банков для кражи учетных данных пользователей. Кроме того, троян ведет статистику своей активности, фиксируя скорость рассылки и информацию о том, было ли получено вредоносное ПО. Специалисты настоятельно рекомендуют пользователям быть осторожными и избегать чатов, где отправляются ZIP-архивы, даже если отправитель находится в списке контактов.