巴西WhatsApp蠕虫传播Astaroth银行木马

网络安全研究人员披露了一起新的网络攻击活动详情，该活动利用WhatsApp作为分发媒介，在针对巴西的攻击中传播名为Astaroth的Windows银行木马。

这次攻击活动被安客诺斯威胁研究部门命名为Boto Cor-de-Rosa。

"该恶意软件会获取受害者的WhatsApp联系人列表，并自动向每个联系人发送恶意消息以进一步传播感染，"这家网络安全公司在分享给黑客新闻的报告中表示。

"虽然核心的Astaroth载荷仍采用Delphi编写，其安装程序依赖Visual Basic脚本，但新增加的基于WhatsApp的蠕虫模块完全用Python实现，突显了威胁行为者日益增长的多语言模块化组件使用趋势。"

Astaroth，也被称为Guildma，是一种银行恶意软件，自2015年以来在野外被检测到，主要针对拉丁美洲用户，特别是巴西用户，以便进行数据盗窃。2024年，多个被追踪为PINEAPPLE和Water Makara的威胁集群被观察到利用钓鱼邮件传播这种恶意软件。

使用WhatsApp作为银行木马的传播媒介是一种新策略，在针对巴西用户的威胁行为者中越来越受欢迎，这一趋势的推动力来自该消息平台在该国的广泛使用。上个月，趋势科技详细介绍了Water Saci依赖WhatsApp传播Maverick和Casbaneiro变种的情况。

索福斯在2025年11月发布的一份报告中表示，它正在追踪一个代号为STAC3150的多阶段恶意软件分发活动，该活动针对巴西的WhatsApp用户传播Astaroth。超过95%的受影响设备位于巴西，其次是美国和奥地利。

该活动自2025年9月24日以来一直活跃，传播包含下载器脚本的ZIP压缩包，该脚本检索PowerShell或Python脚本来收集WhatsApp用户数据以进一步传播，同时包含部署木马的MSI安装程序。安客诺斯的最新发现延续了这一趋势，通过WhatsApp消息分发的ZIP文件成为恶意软件感染的跳板。

"当受害者解压并打开压缩包时，他们会遇到一个伪装成良性文件的Visual Basic脚本，"该网络安全公司表示。"执行此脚本会触发下一阶段组件的下载，标志着入侵的开始。"

这包括两个模块：

一个基于Python的传播模块，该模块收集受害者的WhatsApp联系人，并自动向每个联系人转发恶意ZIP文件，有效地以蠕虫式方式传播恶意软件

一个在后台运行的银行模块，持续监控受害者的网络浏览活动，当访问银行相关网址时激活，以获取凭据并实现经济收益

"恶意软件作者还实现了一个内置机制来实时跟踪和报告传播指标，"安客诺斯表示。"代码会定期记录统计信息，如成功发送的消息数量、失败尝试次数，以及以每分钟消息数衡量的发送速率。"

Q&A

Q1：Astaroth银行木马是什么？

A：Astaroth，也被称为Guildma，是一种银行恶意软件，自2015年以来在野外被检测到，主要针对拉丁美洲用户，特别是巴西用户，以便进行数据盗窃。该木马包含两个主要模块：传播模块和银行模块。

Q2：Astaroth如何通过WhatsApp传播？

A：该恶意软件通过ZIP压缩包在WhatsApp上传播。当受害者解压并执行其中的Visual Basic脚本后，会下载一个Python传播模块，该模块收集受害者的WhatsApp联系人列表，并自动向每个联系人发送恶意ZIP文件。

Q3：Astaroth主要攻击哪些地区？

A：Astaroth主要针对拉丁美洲用户，特别是巴西。根据索福斯的报告，超过95%的受影响设备位于巴西，其次是美国和奥地利。威胁行为者选择WhatsApp作为传播媒介，是因为该平台在巴西的广泛使用。