WhatsApp安全漏洞导致Astaroth恶意软件部署
Sophos分析师正在调查一个针对巴西WhatsApp用户的持久性多阶段恶意软件分发活动。该活动(追踪为STAC3150)于2025年9月24日首次被发现,通过包含下载程序脚本的存档附件传递多个第二阶段有效载荷。
攻击进程
攻击始于通过WhatsApp"一次性查看"选项发送的消息(见图2)。诱饵传递包含恶意VBS或HTA文件的ZIP存档。执行时,该恶意文件启动PowerShell检索第二阶段有效载荷,包括收集WhatsApp用户数据的PowerShell或Python脚本,以及在后期案例中部署Astaroth恶意软件的MSI安装程序。
图3显示了在整个活动期间下载程序脚本和第二阶段文件格式的变化。
在9月下旬的事件中,Sophos分析师观察到攻击者使用PowerShell通过IMAP从攻击者控制的电子邮件账户检索第二阶段有效载荷。10月初,该活动转向基于HTTP的通信,利用PowerShell的Invoke-WebRequest命令联系托管在https://www.varegjopeaks.com的远程命令和控制(C2)服务器(见图4)。
下载的第二阶段PowerShell或Python脚本(见图5)使用Selenium Chrome WebDriver和WPPConnect JavaScript库劫持WhatsApp Web会话,收集联系信息和会话令牌,并促进垃圾邮件分发。
10月下旬,第二阶段文件开始还包括提供Astaroth恶意软件的MSI文件(installer.msi)。安装程序文件将文件写入磁盘并创建启动注册表项以保持持久性。执行时,它通过伪装成.log文件的恶意AutoIt脚本启动Astaroth恶意软件(见图6)。恶意软件与托管在manoelimoveiscaioba.com的C2服务器通信。
受害者分析
Sophos分析师观察到该活动影响了超过250名客户,约95%受影响设备位于巴西。其余位于其他拉丁美洲国家、美国和奥地利(见图7)。
建议、检测和指标
组织应教育员工关于通过社交媒体和即时消息平台发送的存档附件的风险,即使是从已知联系人接收的。
SophosLabs开发了表1中的对策来检测与此威胁相关的活动。
表1:与此威胁相关的Sophos检测
| 名称 | 描述 |
|---|---|
| VBS/DwnLdr-ADJT | 初始VBS文件检测 |
| VBS/DwnLdr-ADJW | 初始VBS文件检测 |
| VBS/DwnLdr-ADJS | 第二阶段VBS文件检测 |
| Troj/Mdrop-KEP | 第二阶段MSI文件检测 |
| Troj/Mdrop-KES | 第二阶段MSI文件检测 |
| Troj/AutoIt-DJB | AutoIt有效载荷检测 |
| Troj/HTADrp-CE | HTA脚本检测 |
表2中的威胁指标可用于检测与此威胁相关的活动。这些域可能包含恶意内容,因此在浏览器中打开前请考虑风险。
表2:此威胁的指标
| 指标 | 类型 | 上下文 |
|---|---|---|
| manoelimoveiscaioba[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| varegjopeaks[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| docsmoonstudioclayworks[.]online | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| shopeeship[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| miportuarios[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| borizerefeicoes[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| clhttradinglimited[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |
| lefthandsuperstructures[.]com | 域名 | WhatsApp STAC3150活动中使用的C2服务器 |