Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Ваш друг прислал странный архив? Поздравляем, теперь его WhatsApp работает на хакеров из Бразилии

Acronis WhatsApp Astaroth Бразилия троян заражение мессенджер
Ваш друг прислал странный архив? Поздравляем, теперь его WhatsApp работает на хакеров из Бразилии
Acronis WhatsApp Astaroth Бразилия троян заражение мессенджер

Astaroth рассылает себя контактам автоматически, даже не требуя участия человека.

image

В Бразилии зафиксирована новая вредоносная кампания, в рамках которой активно используется мессенджер WhatsApp для распространения банковского трояна Astaroth. Этот способ доставки вредоносного ПО особенно эффективен из-за популярности приложения в стране. По данным команды Acronis, атака получила внутреннее название Boto Cor-de-Rosa.

Заражение начинается с того, что пользователю приходит сообщение с вложением в виде ZIP-архива. После извлечения содержимого открывается скрипт на Visual Basic, замаскированный под безобидный файл. При запуске он инициирует загрузку следующих компонентов, включая модуль для распространения вредоноса и основную вредоносную часть.

Программа функционирует по двухэтапной схеме. Первый модуль, написанный на Python, получает доступ к списку контактов в WhatsApp и рассылает каждому из них тот же вредоносный архив, что позволяет трояну быстро распространяться по цепочке. Второй модуль работает в фоновом режиме, отслеживая действия пользователя в браузере, и активируется при переходе на сайты банков, чтобы похищать данные для входа и совершения финансовых операций.

Кроме того, вредоносное ПО содержит встроенные механизмы для отслеживания эффективности заражения. В реальном времени оно собирает статистику: количество успешно отправленных сообщений, число неудачных попыток и скорость рассылки.

По информации Acronis, вредоносная активность наблюдается с конца сентября 2025 года. Основной целью остаются пользователи в Бразилии, на долю которых приходится более 95% всех заражений. Остальные случаи зафиксированы в США и Австрии. Эти атаки продолжают ранее выявленную цепочку распространения Astaroth, в рамках которой применяются многоступенчатые механизмы заражения, включая скрипты на PowerShell и Python, а также установочные файлы формата MSI.

Ранее аналогичный подход использовали группы, отслеживаемые как Water Saci и PINEAPPLE. Они также применяли рассылку через мессенджер, чтобы заражать пользователей вредоносами Maverick и Casbaneiro. Постепенное внедрение многоязычных компонентов и адаптация к наиболее популярным каналам связи демонстрируют растущую техническую оснащённость злоумышленников и их ориентацию на массовое заражение через повседневные цифровые привычки пользователей.