Կիբեռհանցագործները զարգացել են. այժմ Astaroth բանկային տրոյականը (որը նաև կոչվում է Guildma) տարածվում է ոչ թե էլ. փոստի, այլ առօրյա մեսենջեր WhatsApp-ի միջոցով։ Sophos ընկերությունը STAC3150 նոր զեկույցում բացահայտել է քարոզարշավի մանրամասները, որը սկսվել է 2025 թվականի սեպտեմբերի 24-ին և արդեն ազդել է ավելի քան 250 օգտատերերի վրա։ Հիմնական հարվածն ընկել է Բրազիլիային, սակայն փորձագետները զգուշացնում են. հարձակումը կարող է տարածվել նաև այլ տարածաշրջաններ։ 

Հարձակման սխեման. «Միանգամյա դիտումից» մինչև ամբողջական վարակում

STAC3150 քարոզարշավը առավելագույնս օգտագործում է սոցիալական ճարտարագիտությունը։ Հանցագործները կոտրում են զոհերի հաշիվները WhatsApp Web-ի միջոցով և կոնտակտներին ուղարկում ֆիշինգային հաղորդագրություններ՝ «Միանգամյա դիտում» տարբերակով, ինչը գաղտնիության պատրանք է ստեղծում։ Հաղորդագրության մեջ կա հղում ZIP-արխիվի վրա՝ «կարևոր փաստաթղթով» (օրինակ՝ «ORCAMENTO»՝ բյուջե, կամ «COMPROVANTE»՝ վաուչեր)։ Զոհը ներբեռնում է արխիվը, և սկսվում է շղթան։ 

ZIP-ի ներսում կա վնասակար VBS- կամ HTA-ֆայլ, որը գործարկում է PowerShell-ը։ Սկրիպտը ներբեռնում է երկրորդ փուլը՝ MSI-տեղադրիչը (2025 թվականի հոկտեմբերից)։ Այն ֆայլերը տեղադրում է Windows-ի համակարգային գրացուցակներում (օրինակ՝ %AppData%), գրանցում ավտոմատ գործարկումը ռեգիստրում և ակտիվացնում քողարկված AutoIt-սկրիպտը՝ անվնաս .log-ֆայլի տեսքով։ Այս սկրիպտը կապվում է C2-սերվերի հետ (manoelimoveiscaioba[.]com) և ներբեռնում ամբողջական Astaroth-ը՝ տրոյական ծրագիր բանկային տվյալներ գողանալու համար։ 

Astaroth-ը դասական բանկային տրոյական է. այն վերահսկում է բուֆերը, որսում ֆինանսական կայքերի վրա կատարված սեղմումները, գողանում է հավատարմագրերը (credentials) և սեանսները։ Այս քարոզարշավում այն էվոլյուցիայի է ենթարկվել. օգտագործում է Selenium-ը և WPPConnect-ը WhatsApp-ի սեանսները գողանալու, կոնտակտներ ներբեռնելու և հետագա սպամի համար։ Էվոլյուցիայի արագությունը զարմացնում է. մեկ ամսվա ընթացքում ֆայլերի ձևաչափերը փոխվել են VBS-ից մինչև MSI և Python-սկրիպտներ։ 

Ինչու Բրազիլիա և ինչպես է դա սպառնում աշխարհին

Բրազիլիան էպիկենտրոնն է. հարձակումների 90%-ն այստեղ է՝ շնորհիվ WhatsApp-ի հանրաճանաաչության (սմարթֆոնների ավելի քան 99%-ը) և թույլ կիբեռհիգիենայի։ Տրոյականը թիրախավորում է տեղական բանկերը (Banco do Brasil, Itaú) և կրիպտոբորսաները։ Սակայն Sophos-ը վարակումների աճ է գրանցում Եվրոպայում և ԱՄՆ-ում՝ գլոբալ կոնտակտների միջոցով։ Կորպորատիվ ցանցերը վտանգի տակ են. մեկ կոտրված հաշիվը կարող է վարակել գործընկերներին, ինչը կհանգեցնի կորպորատիվ տվյալների արտահոսքի կամ ֆինանսական կորուստների։ 

Ինչպես պաշտպանվել. Պարզ քայլեր Sophos-ից

Փորձագետներն ընդգծում են. հարձակման արագությունը հաքերների հաջողության գլխավոր գործոնն է։ Ահա հիմնական առաջարկությունները. 

• Երբեք մի բացեք ZIP-արխիվներ անծանոթներից կամ նույնիսկ «վստահելի» կոնտակտներից, հատկապես «Միանգամյա դիտում» տարբերակով։
• Միացրեք երկգործոն նույնականացումը (2FA) WhatsApp-ում և վերահսկեք Web-տարբերակի սեանսները։
• Օգտագործեք անտիվիրուս վարքագծային վերլուծությամբ (Sophos Intercept X կամ նմանատիպ). այն որսում է PowerShell-սկրիպտները և MSI-ները։
• Թարմացրեք Windows-ը և WhatsApp-ը. patch-երը փակում են խոցելիությունները ռեգիստրում և ավտոմատ գործարկման մեջ։
• Բիզնեսի համար. սեգմենտացրեք ցանցը, ուսուցանեք աշխատակիցներին ֆիշինգը ճանաչելուն։

Եթե ֆայլը կասկածելի է, բացելուց առաջ ներբեռնեք VirusTotal։ 

Կարճ ասած

STAC3150 քարոզարշավը WhatsApp-ն օգտագործում է Astaroth-ը տարածելու համար ZIP-ի, MSI-ի և AutoIt-սկրիպտների միջոցով. վարակումը՝ րոպեների ընթացքում, բանկային տվյալների և սեանսների գողացում։ Բրազիլիան հարվածի տակ է, բայց ռիսկերը գլոբալ են։ Պաշտպանվեք. անտեսեք կասկածելի արխիվները, միացրեք 2FA-ն և անտիվիրուսը։ Sophos-ը խորհուրդ է տալիս. ավելի լավ է ապահովագրվել, քան կորցնել հաշիվը։