В последние месяцы в области кибербезопасности появилась новая угроза, которая использует популярную функцию WhatsApp Web для распространения вредоносного программного обеспечения. Исследователи безопасности обнаружили, что злоумышленники запустили масштабную кампанию, связанная с банковским трояном Astaroth, которая распространяется автоматически через чаты. Эта тактика усложняет борьбу с заражениями, делая их более устойчивыми и масштабными.
Что такое кампания Boto Cor-de-Rosa и как она работает?
Кампания получила название Boto Cor-de-Rosa и демонстрирует, насколько продвинутыми стали современные киберпреступники, использующие доверенные пользователям инструменты. В основном атака нацелена на пользователей Windows и использует WhatsApp Web как средство доставки и распространения вредоносных файлов. Зловредный сценарий начинается с отправки обычного ZIP-файла, который выглядит безопасным и не вызывает подозрений.
Механизм распространения и особенности атаки
После открытия файла злоумышленники используют Visual Basic скрипт, замаскированный под обычный документ. Если пользователь запускает его, скрипт незаметно скачивает два компонента: банковский троян Astaroth, написанный на Delphi, и модуль на Python, который управляет сессией WhatsApp Web. Эти компоненты работают в фоновом режиме, не вызывая подозрений и автоматически распространяясь по контактам жертвы.
Особенностью этой кампании является автоматический рассылка файла через все контакты пользователя. Модуль на Python сканирует список контактов и отправляет им вредоносное сообщение, часто маскируясь под дружелюбное приветствие. В результате заражение распространяется очень быстро и практически без вмешательства злоумышленников.
Опасность для пользователей и что скрывается за этим
Главная опасность заключается в том, что вредоносное ПО может читать личные сообщения, похищать учетные данные и даже получать доступ к банковским счетам. Кампания тщательно отслеживает эффективность своих действий, собирая статистику о доставке сообщений и корректируя тактику в реальном времени. Скрипты замаскированы, чтобы избегать обнаружения антивирусами, а загрузка дополнительных модулей происходит с помощью команд PowerShell с давно взломанных сайтов, таких как coffe-estilo.com.
Почему WhatsApp Web — лакомый кусок для злоумышленников?
WhatsApp Web популярен благодаря удобству — он отображает переписку с телефона на компьютере, что делает его очень привлекательным для пользователей. Однако эта функция создаёт уязвимость. В случае компрометации активной сессии злоумышленники получают возможность читать сообщения, отправлять файлы и даже управлять аккаунтом, оставаясь незамеченными. Это превращает WhatsApp Web в эффективную платформу для автоматического распространения вредоносных файлов.
Как защитить себя от подобных атак?
- Не открывайте ZIP-файлы из чатов без подтверждения отправителя.
- Обратите внимание на подозрительные имена файлов и необычные сообщения с призывами к действию.
- Проверяйте активные сессии WhatsApp Web и выходите из незнакомых или неиспользуемых устройств.
- Ограничьте использование WhatsApp Web на общих компьютерах или в публичных местах.
- Включите двухфакторную аутентификацию в настройках мессенджера.
- Обновляйте операционную систему и браузеры своевременно, чтобы закрывать уязвимости.
- Используйте современное антивирусное программное обеспечение, способное отслеживать скрипты и PowerShell-активность в реальном времени.
Общий совет для пользователей
Самое важное — соблюдать осторожность и не торопиться с открытием подозрительных файлов. Внимание к деталям, регулярные проверки активных сессий и установка обновлений значительно снижают риск заражения. В современном мире киберугрозы всё чаще используют привычные инструменты и доверенные платформы, превращая их в оружие злоумышленников. Поэтому осознанность и соблюдение базовых правил безопасности — лучшие защитные меры.