WhatsApp 入侵导致 Astaroth 部署

另一场针对巴西 WhatsApp 用户的攻击活动像蠕虫一样传播，并利用多个有效载荷进行凭证窃取、会话劫持和持久化驻留。

作者：Colin Cowie 日期：2025 年 11 月 20 日

Sophos 分析师正在调查一场针对巴西 WhatsApp 用户的、持续的多阶段恶意软件分发活动。该活动（跟踪编号为 STAC3150）首次发现于 2025 年 9 月 24 日，它分发包含下载器脚本的存档附件，该脚本会检索多个第二阶段有效载荷。十月初，Counter Threat Unit™（CTU）研究人员详细介绍了与另一场基于巴西的攻击活动相关的行为，其中威胁行为者利用 WhatsApp 部署 Maverick 银行木马以窃取凭证。

在 STAC3150 中，第二阶段的有效载荷包括一个用于收集 WhatsApp 联系信息和会话数据的脚本，以及一个用于部署 Astaroth（也称为 Guildma）银行木马的安装程序（见图 1）。

图 1：WhatsApp STAC3150 攻击活动中的攻击链

攻击过程

攻击始于一条使用 WhatsApp"阅后即焚"（View Once）选项发送的消息（见图 2）。

图 2：WhatsApp 诱饵消息（左）及其翻译（右）

该诱饵消息分发一个包含恶意 VBS 或 HTA 文件的 ZIP 压缩包。当该恶意文件执行时，会启动 PowerShell 来检索第二阶段的有效载荷，包括一个用于收集 WhatsApp 用户数据的 PowerShell 或 Python 脚本，以及在后续案例中，一个用于分发 Astaroth 恶意软件的 MSI 安装程序。图 3 显示了在攻击活动过程中，下载器脚本和第二阶段文件格式的变化。

图 3：2025 年 9 月 24 日至 10 月 31 日期间 STAC3150 活动中使用的文件格式

在 9 月下旬的事件中，Sophos 分析师观察到攻击者使用 PowerShell 通过 IMAP 从攻击者控制的电子邮件帐户检索第二阶段的有效载荷。10 月初，该活动转变为基于 HTTP 的通信，利用 PowerShell 的 Invoke-WebRequest 命令联系托管在 https://www.varegjopeaks[.]com 上的远程命令与控制（C2）服务器（见图 4）。

图 4：从恶意 VBS 文件启动的第一阶段 PowerShell 命令

下载的第二阶段 PowerShell 或 Python 脚本（见图 5）利用 Selenium Chrome WebDriver 和 WPPConnect JavaScript 库劫持 WhatsApp Web 会话，收集联系人信息和会话令牌，并协助垃圾信息分发。

图 5：用于 WhatsApp 数据收集的 PowerShell（左）和 Python（右）脚本

10 月下旬，第二阶段文件开始同时包含一个用于分发 Astaroth 恶意软件的 MSI 文件（installer.msi）。该安装程序文件将文件写入磁盘，并创建一个启动注册表项以保持持久化。执行时，它通过一个伪装成 .log 文件的恶意 AutoIt 脚本来启动 Astaroth 恶意软件（见图 6）。该恶意软件与托管在 manoelimoveiscaioba[.]com 的 C2 服务器通信。

图 6：AutoIt 有效载荷执行

受害者情况

Sophos 分析师观察到该活动影响了超过 250 名客户，其中约 95% 受影响设备位于巴西。其余设备位于其他拉丁美洲国家、美国和奥地利（见图 7）。

图 7：2025 年 10 月 23 日至 28 日期间受部署 Astaroth 的 WhatsApp 活动影响的 Sophos 客户设备分布

建议、检测和指标

组织应教育员工注意打开通过社交媒体和即时通讯平台发送的存档附件的风险，即使是来自已知联系人。

SophosLabs 已制定表 1 中的应对措施，以检测与此威胁相关的活动。

表 1：与此威胁相关的 Sophos 检测

表 2 中的威胁指标可用于检测与此威胁相关的活动。这些域名可能包含恶意内容，因此在浏览器中打开前请评估风险。

表 2：此威胁的指标