详细内容或原文请订阅后点击阅览
Astaroth 银行木马通过 WhatsApp 蠕虫在巴西传播
WhatsApp 蠕虫通过自动向受害者的联系人发送恶意消息,在巴西各地传播 Astaroth 银行木马。 Astaroth 是一种长期运行的巴西银行恶意软件,它通过滥用 WhatsApp Web 进行传播,演变成了一场名为 Boto Cor-de-Rosa 的新活动。该恶意软件获取受害者的 WhatsApp 联系人列表,并自动向每个联系人发送恶意消息,[...]
来源:Security Affairs _恶意软件Astaroth 银行木马通过 WhatsApp 蠕虫在巴西传播
WhatsApp 蠕虫通过自动向受害者的联系人发送恶意消息,在巴西各地传播 Astaroth 银行木马。
Astaroth 是一种长期运行的巴西银行恶意软件,它通过滥用 WhatsApp Web 进行传播,演变成了一场名为 Boto Cor-de-Rosa 的新活动。该恶意软件获取受害者的 WhatsApp 联系人列表,并自动向每个联系人发送恶意消息,像蠕虫一样进行传播。虽然主要的 Astaroth 有效负载仍然是用 Delphi 编写的,并且其安装程序使用 Visual Basic 脚本,但新的 WhatsApp 蠕虫组件完全用 Python 实现,显示出增强的模块化和多语言开发。
该活动继续几乎完全专注于巴西受害者,利用特定地区的诱饵、当地生态系统知识和熟悉文化的沟通渠道来提高感染成功率。
攻击链始于一条携带恶意 ZIP 文件的 WhatsApp 消息。打开后,它会运行一个伪装的 VBScript,下载额外的有效负载。
然后,恶意软件分为两个模块:一个模块通过自动向受害者的 WhatsApp 联系人发送恶意 ZIP 消息来传播感染,而另一个模块则默默运行以监控银行活动并窃取金融欺诈凭证。
“传播模块:该组件收集受害者的 WhatsApp 联系人,并自动向每个人发送一个新的恶意 ZIP 文件,维持连续且自我强化的传播循环。”阅读 Acronis 发布的报告。 “银行模块:该组件在后台默默运行,监视受害者的浏览活动。当访问与银行相关的 URL 时,它会激活凭证窃取功能和其他旨在获取经济利益的欺诈行为。”
最新的 Astaroth 活动展示了银行恶意软件如何通过将凭证盗窃与社会工程和基于 WhatsApp 的传播相结合来演变,以更快地传播并利用用户信任。