Киберпреступники значительно усовершенствовали схему распространения опасного банковского трояна Astaroth (Guildma), начав массовую рассылку вредоносных ZIP-архивов через популярный мессенджер WhatsApp (Компания Meta Platforms Inc.* признана экстремистской организацией). Об этом свидетельствуют данные последнего исследования компании Sophos.
Согласно отчету экспертов по кибербезопасности, злоумышленники рассылают потенциальным жертвам сообщения, содержащие ZIP-архивы с MSI-установщиком внутри. При запуске данный инсталлятор развертывает на компьютере полнофункциональную версию трояна Astaroth, осуществляя запись нескольких исполняемых файлов в системные директории и настраивая их автоматический запуск через реестр Windows.
Особенностью новой кампании стало использование скрипта AutoIt, тщательно замаскированного под безобидный log-файл с расширением .log. Этот скрипт отвечает за установление связи с командным сервером злоумышленников и последующую загрузку дополнительных вредоносных модулей.
Географически основная нагрузка кампании пришлась на пользователей в Бразилии, где Astaroth традиционно проявляет наибольшую активность. Эксперты Sophos подчеркивают, что скорость развития вредоносной кампании и постоянная ротация методов атаки значительно повышают опасность данного семейства троянов как для частных пользователей, так и для корпоративных сетей.
Рекомендуется проявлять особую осторожность при получении архивных файлов через мессенджеры, даже от доверенных отправителей.
Ранее мошенники создали сотни сайтов для кражи денег у участников СВО.