WhatsApp 遭利用传播银行木马：剖析 Astaroth 多阶段攻击链

Sophos 分析师正在调查一个针对巴西 WhatsApp 用户的持续性、多阶段恶意软件分发活动。该活动（追踪为 STAC3150）最早于 2025 年 9 月 24 日被观察到，它通过包含下载器脚本的压缩包附件来获取多个第二阶段有效载荷。十月初，Counter Threat Unit™ (CTU) 研究人员详细介绍了另一个以巴西为基地的活动的相关行为，其中威胁行为者利用 WhatsApp 部署 Maverick 银行木马以窃取凭证。

在 STAC3150 中，第二阶段的有效载荷包括一个收集 WhatsApp 联系信息和会话数据的脚本，以及一个部署 Astaroth（也称为 Guildma）银行木马的安装程序（见图 1）。

图 1：WhatsApp STAC3150 活动中的攻击链

攻击进程

攻击始于使用 WhatsApp“阅后即焚”选项发送的一条消息（见图 2）。

图 2：WhatsApp 诱饵（左）及其翻译（右）

该诱饵会传递一个包含恶意 VBS 或 HTA 文件的 ZIP 压缩包。当执行时，此恶意文件会启动 PowerShell 以获取第二阶段有效载荷，包括一个收集 WhatsApp 用户数据的 PowerShell 或 Python 脚本，以及在后期案例中，一个用于投递 Astaroth 恶意软件的 MSI 安装程序。图 3 显示了活动期间下载器脚本和第二阶段文件格式的变化。

图 3：2025 年 9 月 24 日至 10 月 31 日期间 STAC3150 活动中使用的文件格式

在九月底的事件中，Sophos 分析师观察到攻击者使用 PowerShell 通过 IMAP 从受攻击者控制的电子邮件帐户获取第二阶段有效载荷。十月初，活动转向基于 HTTP 的通信，利用 PowerShell 的 Invoke-WebRequest 命令联系托管在 https://www.varegjopeaks.com 的远程命令与控制 (C2) 服务器（见图 4）。

图 4：从恶意 VBS 文件启动的第一阶段 PowerShell 命令

下载的第二阶段 PowerShell 或 Python 脚本（见图 5）使用 Selenium Chrome WebDriver 和 WPPConnect JavaScript 库来劫持 WhatsApp Web 会话、收集联系信息和会话令牌，并协助垃圾消息分发。

图 5：用于 WhatsApp 数据收集的 PowerShell（左）和 Python（右）脚本

十月底，第二阶段文件开始同时包含一个 MSI 文件 (installer.msi)，该文件用于投递 Astaroth 恶意软件。该安装程序文件将文件写入磁盘并创建一个启动注册表项以维持持久性。执行时，它会通过伪装成 .log 文件的恶意 AutoIt 脚本来启动 Astaroth 恶意软件（见图 6）。该恶意软件与托管在 manoelimoveiscaioba.com 的 C2 服务器通信。

图 6：AutoIt 有效载荷执行

受害者分析

Sophos 分析师观察到该活动影响了超过 250 名客户，其中约 95% 受影响的设备位于巴西。其余设备位于其他拉丁美洲国家、美国和奥地利（见图 7）。

图 7：2025 年 10 月 23 日至 10 月 28 日期间受部署 Astaroth 的 WhatsApp 活动影响的 Sophos 客户设备分布情况

建议、检测与威胁指标

组织应教育员工有关打开通过社交媒体和即时通讯平台发送的压缩包附件的风险，即使这些附件来自已知联系人。

SophosLabs 已制定表 1 中的应对措施以检测与此威胁相关的活动。

表 1：与此威胁相关的 Sophos 检测

表 2 中的威胁指标可用于检测与此威胁相关的活动。这些域名可能包含恶意内容，因此在浏览器中打开前请评估风险。

表 2：此威胁的威胁指标