Μια νέα καμπάνια που περιλαμβάνει το τραπεζικό κακόβουλο λογισμικό Astaroth εμφανίστηκε, στοχεύοντας συστήματα Windows μέσω του WhatsApp Web με δυνατότητες αυτοματοποιημένης διάδοσης.
Η καμπάνια, που ονομάζεται Boto Cor-de-Rosa, αντιπροσωπεύει μια σημαντική εξέλιξη στον τρόπο με τον οποίο το κακόβουλο λογισμικό εξαπλώνεται μέσω των πλατφορμών ανταλλαγής μηνυμάτων.
Η απειλή στοχεύει συγκεκριμένα χρήστες στη Βραζιλία εκμεταλλευόμενος το WhatsApp Web για τη συλλογή λιστών επαφών και την αυτόματη αποστολή κακόβουλων μηνυμάτων σε κάθε επαφή, δημιουργώντας έναν αυτοσυντηρούμενο βρόχο μόλυνσης.
Το κακόβουλο λογισμικό λειτουργεί μέσω μιας διττής προσέγγισης που συνδυάζει την επιθετική διάδοση με την κλοπή διαπιστευτηρίων.
Όταν τα θύματα λαμβάνουν ένα αρχείο ZIP μέσω του WhatsApp και το εξαγάγουν, αντιμετωπίζουν ένα σενάριο της Visual Basic που είναι μεταμφιεσμένο ως νόμιμο αρχείο.
Μόλις εκτελεστεί, αυτό το σενάριο κατεβάζει δύο στοιχεία: τον βασικό τραπεζικό ωφέλιμο φορτίο Astaroth γραμμένο στους Δελφούς και μια λειτουργική μονάδα διανομής WhatsApp που βασίζεται στην Python.
Η διαδικασία μόλυνσης ξεκινά ακίνδυνα, με τα ονόματα αρχείων να ακολουθούν μοτίβα όπως “552516107-a9af16a8-552.zip” για να φαίνονται λιγότερο ύποπτα.
Ερευνητές Acronis αναγνωρισθείς ότι το κακόβουλο λογισμικό χρησιμοποιεί εξελιγμένες τεχνικές κοινωνικής μηχανικής για να αυξήσει το ποσοστό επιτυχίας του.
Η λειτουργική μονάδα Python εντοπίζει αυτόματα την ώρα της ημέρας και στέλνει τους κατάλληλους χαιρετισμούς στα Πορτογαλικά πριν παραδώσει το κακόβουλο ωφέλιμο φορτίο.
.webp.png "Νέο κακόβουλο λογισμικό αυτόματης αποστολής στις επαφές μέσω WhatsApp Web Attacks Συστήματα Windows")
Το πρότυπο μηνύματος λέει “Segue o arquivo solicitado. Qualquer dvida estou disposio!” που μεταφράζεται σε «Εδώ είναι το ζητούμενο αρχείο.
Αν έχετε απορίες, είμαι διαθέσιμος!» Αυτή η περιστασιακή, οικεία φράση κάνει τους παραλήπτες πιο πιθανό να εμπιστευτούν το συνημμένο.
Τεχνική Καταστροφή του Μηχανισμού Επίθεσης
Η μονάδα διάδοσης περιλαμβάνει ενσωματωμένους μηχανισμούς παρακολούθησης που παρακολουθούν τις μετρήσεις παράδοσης σε πραγματικό χρόνο.
Ο κωδικός υπολογίζει στατιστικά στοιχεία όπως επιτυχείς παραδόσεις, αποτυχημένες προσπάθειες και ρυθμός αποστολής που μετράται σε μηνύματα ανά λεπτό.
Μετά από κάθε 50 μηνύματα, δημιουργεί ενημερώσεις προόδου που δείχνουν το ποσοστό των επαφών που υποβλήθηκαν σε επεξεργασία και την τρέχουσα απόδοση.
Το πρόγραμμα λήψης VBS που είναι ενσωματωμένο στο αρχείο ZIP είναι συνήθως 50 έως 100 KB και είναι πολύ ασαφές για να αποφευχθεί ο εντοπισμός.
Μόλις αποσυμφορηθεί, εκτελεί εντολές PowerShell για λήψη στοιχείων από παραβιασμένους τομείς όπως το coffe-estilo.com.
Το ληφθέν πακέτο MSI αναπτύσσει αρχεία στον κατάλογο “C:\MicrosoftEdgeCache6.60.2.9313”, συμπεριλαμβανομένου του electron.exe και διαφόρων αρχείων DLL που αποτελούν το πλήρες ωφέλιμο φορτίο της Astaroth.
