Киберпреступники запустили новую волну атак с распространением банковского трояна Astaroth (известного также как Guildma), используя массовую рассылку ZIP-архивов через мессенджер WhatsApp* (Компания Meta Platforms Inc.* признана экстремистской организацией). Об этом говорится в исследовании компании Sophos.
По данным экспертов, жертвам отправляют сообщения с ZIP-файлами, внутри которых скрыт MSI-установщик. После запуска он разворачивает на компьютере полноценную версию Astaroth, записывая в системные каталоги несколько исполняемых файлов и настраивая их автозапуск через реестр Windows.
Главным новшеством кампании стал скрипт AutoIt, замаскированный под безобидный файл с расширением .log. Он устанавливает соединение с командным сервером и загружает дополнительные модули, позволяющие злоумышленникам расширять функциональность трояна и усложнять его обнаружение.
Основной поток атак зафиксирован в Бразилии, где Astaroth традиционно наиболее активен. Специалисты отмечают, что злоумышленники быстро меняют методы доставки и маскировки, что делает угрозу опасной как для обычных пользователей, так и для компаний.
Эксперты рекомендуют с осторожностью открывать любые архивы, полученные в мессенджерах, даже если они приходят от знакомых — аккаунты могут быть взломаны.
Вера Сергеева.
Фото: Pixabay.com