Киберпреступники начали активно использовать мессенджер WhatsApp* (принадлежит Meta Platforms Inc.*, признанной экстремистской организацией) для распространения нового варианта опасного банковского трояна Astaroth (Guildma). Об этом сообщает компания по кибербезопасности Sophos, специалисты которой зафиксировали массовую рассылку вредоносных ZIP-архивов.
Как отмечают эксперты, пользователям приходят сообщения с архивами, внутри которых скрыт MSI-установщик. При его запуске на компьютере незаметно разворачивается троян Astaroth, записывая в системные директории несколько исполняемых файлов и настраивая их автозапуск через реестр Windows. После этого вредоносная программа получает полный контроль над устройством.
Главная особенность новой кампании — использование скрипта AutoIt, замаскированного под обычный лог-файл с расширением .log. Этот скрипт устанавливает соединение с командным сервером злоумышленников, получает инструкции и загружает дополнительные модули, обеспечивая дальнейшее развитие атаки.
По данным Sophos, основная волна заражений пришлась на пользователей в Бразилии, где Astaroth уже не первый год проявляет наибольшую активность. Однако специалисты предупреждают, что вирус быстро адаптируется и может распространиться за пределы региона.
Эксперты подчеркивают, что постоянное совершенствование схем и высокая скорость обновления вредоносных компонентов делают Astaroth одной из самых опасных угроз как для частных пользователей, так и для корпоративных сетей. Специалисты рекомендуют не открывать архивные файлы, полученные через мессенджеры, даже если они приходят от знакомых или коллег.
*Meta Platforms Inc. признана экстремистской организацией и запрещена на территории РФ
