В рамках новой кибератаки злоумышленники используют WhatsApp Web как средство распространения вредоносных программ. Исследователи безопасности выявили, что связанный с Astaroth банковский троян распространяется автоматически через чат-сообщения, что усложняет его остановку после запуска. Кампания носит название Boto Cor-de-Rosa и демонстрирует, как злоумышленники совершенствуют свои методы, используя доверенные пользователям инструменты.
Детали кампании и механизм распространения вредоносного ПО
Атака начинается с отправки сообщения, в котором содержится ZIP-файл, выглядящий безобидным и случайным. После его открытия пользователь видит внутри скрипт Visual Basic, маскирующийся под обычный документ. При запуске скрипт незаметно загружает два дополнительных компонента: банковский троян Astaroth, написанный на Delphi, и модуль на Python, предназначенный для контроля WhatsApp Web. Оба компонента работают в фоновом режиме без явных признаков заражения. Далее вредоносное ПО само распространяется, сканируя контакты жертвы и автоматически отправляя им зараженные файлы.
Хронология и основные этапы атаки
- Пользователь получает сообщение с ZIP-файлом через WhatsApp Web.
- При открытии файла запускается скрипт, загружающий троян и управляющий модуль.
- Модуль на Python сканирует контакты и автоматически рассылает вредоносное сообщение.
- Сообщения адаптированы под время суток и содержат дружелюбные приветствия, что повышает вероятность их открытия.
- Инфекция становится самовоспроизводящейся и трудно обнаружимой.
Позиции сторон, реакции и комментарии экспертов
Представители компании Acronis и другие эксперты по безопасности предупреждают, что данный сценарий использования WhatsApp Web увеличивает риски заражения. Они отмечают, что злоумышленники используют доверие пользователей к популярной платформе для автоматической рассылки вредоносных файлов. В пресс-релизах подчеркивается, что вирус активно скрывается внутри систем, маскируясь под легитимные файлы и процессы.
Официальные представители WhatsApp и компании-разработчика программного обеспечения подчеркивают важность соблюдения мер предосторожности и рекомендуют проверять активные сессии Web и отключать их при подозрении.
Контекст и возможные последствия
Данная кампания демонстрирует, как злоумышленники используют популярные и доверенные пользователям инструменты для автоматизации атак. В результате жертвы рискуют потерять доступ к банковским счетам, а также стать жертвами кражи личных данных и финансового мошенничества. Уязвимость связана не только с самим вредоносным ПО, но и с практиками безопасности пользователей, такими как оставление Web-сессий открытыми на общих устройствах и недостаточное обновление системы.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты