Новые угрозы: malware на базе WhatsApp Web превращается в автоматический инструмент атаки
Современные киберпреступники постоянно совершенствуют свои методы, и новая кампания malware показывает, как популярные и доверенные пользователями инструменты могут стать оружием в руках злоумышленников. Сейчас через WhatsApp Web распространяется опасный банковский троян, связанный с группировкой Astaroth, который способен самостоятельно распространяться без участия пользователя, делая остановку атаки чрезвычайно сложной.
Кампания Boto Cor-de-Rosa: усложненная схема распространения вредоносного ПО
Эта атака, получившая название Boto Cor-de-Rosa, демонстрирует, как злоумышленники используют привычные для людей приложения для распространения вредоносных программ. В фокусе — пользователи Windows, для которых WhatsApp Web выступает как средство доставки и автоматического распространения вируса.
Как происходит заражение
Начинается всё с простого сообщения. На контакт приходит ZIP-файл, который выглядит безобидным и случайным, что снижает подозрения. После открытия файла внутри оказывается скрипт на Visual Basic, замаскированный под обычный документ. Если пользователь запустит этот скрипт, он тайно загрузит два дополнительных компонента malware.
Один из них — банковский троян Astaroth, написанный на Delphi, а другой — модуль на Python, предназначенный для контроля аккаунта в WhatsApp Web. Обе части работают в фоновом режиме, не вызывая подозрений, что делает дальнейшее распространение вредоносных программ практически автоматическим.
Автоматическая рассылка и маскировка
Что особенно опасно — malware использует модуль на Python для автоматического сканирования контактов и рассылки заражённых ZIP-файлов по всем чатам без участия пользователя. Исследователи обнаружили, что сообщения адаптируются в зависимости от времени суток: они могут содержать дружелюбные приветствия и выглядеть как обычная переписка, что повышает вероятность их открытия.
Особенности и механизмы контроля
Зловредный софт тщательно отслеживает эффективность своей работы: количество успешно отправленных сообщений, провалы и скорость рассылки. После каждых 50 сообщений он формирует отчеты, позволяющие злоумышленникам быстро корректировать свои действия. Скрипт, замаскированный под обычный файл, скрыт внутри папки, имитирующей кэш браузера Microsoft Edge. Внутри находятся исполняемые файлы и библиотеки, содержащие весь вредоносный код, позволяющий похищать учетные данные пользователя и контролировать финансовую информацию.
Как WhatsApp Web становится платформой для распространения malware
WhatsApp Web — это популярный инструмент, который позволяет отображать переписку с телефона на компьютере. Он обеспечивает удобство, но одновременно создает уязвимость. Для использования требуется отсканировать QR-код, что связывает браузер с аккаунтом. В результате эта сессия становится доверенной, и все сообщения и действия в ней воспринимаются системой как легитимные.
Злоумышленники используют именно эту особенность. Получая доступ к сессии WhatsApp Web, вредоносное ПО может читать сообщения, получать доступ к контактам и рассылать вредоносные файлы или ссылки, которые выглядят абсолютно правдоподобно. Пользователи зачастую даже не подозревают о наличии угрозы, так как сессия продолжается, а сообщения выглядят как обычная переписка.
Угрозы расширений браузеров и способы защиты
Помимо распространения через чаты, malware также способен использовать вредоносные расширения браузеров для кражи криптовалютных кошельков и паролей. Чтобы снизить риск заражения, рекомендуется соблюдать несколько простых правил:
- Никогда не открывайте ZIP-файлы, присланные через мессенджеры, без предварительной проверки отправителя.
- Обращайте внимание на названия файлов: подозрительные или случайные имена — знак опасности.
- Будьте насторожены, если сообщение вызывает срочность или кажется слишком знакомым — это тактика мошенников.
- Проверяйте активные сессии WhatsApp Web и выходите из тех, что вызывают подозрение.
- Не оставляйте WhatsApp Web подключенным на общих или публичных компьютерах.
- Включайте двухфакторную аутентификацию в настройках WhatsApp для дополнительной защиты.
Обновляйте системы и используйте антивирусное ПО
Еще один важный аспект — своевременное обновление операционной системы и браузеров. Многие уязвимости устраняются именно в новых версиях программного обеспечения. Также рекомендуется использовать надежные антивирусные решения, которые способны обнаружить скрипты злоумышленников и активность PowerShell в реальном времени.
Для максимальной защиты рекомендуется устанавливать антивирусные программы, способные отслеживать попытки запуска вредоносных скриптов и блокировать подозрительную активность. Это существенно снижает риск заражения и утраты личных данных.
Дополнительные меры защиты: управление личными данными и мониторинг
Чтобы снизить последствия возможных атак, стоит уменьшить свою цифровую следу. Используйте сервисы для удаления личной информации из баз данных, чтобы затруднить злоумышленникам доступ к вашим данным. Полезно также подключить сервисы защиты от кражи личности, которые отслеживают использование ваших личных данных в сети и на черных рынках.
Настройте уведомления о транзакциях по банковским картам и счетам. Чем быстрее вы узнаете о подозрительных операциях, тем скорее сможете предпринять меры по их блокировке.
Важность осторожности и внимательности при использовании мессенджеров
Памятка для пользователей: даже дружелюбные и кажущиеся безобидными сообщения могут скрывать угрозу. Всегда проверяйте файлы и ссылки, прежде чем открывать их, особенно если они пришли неожиданно или вызывают ощущение срочности. Медленная и осмотрительная реакция — лучший способ обезопасить себя от киберугроз, которые сегодня все чаще маскируются под обычную переписку.
Эта кампания показывает, что злоумышленники используют доверие и привычные инструменты для быстрого распространения вредоносных программ. Поэтому важно быть внимательными, соблюдать правила безопасности и регулярно обновлять программное обеспечение.
Обеспечьте свою безопасность, уделяя внимание деталям, и помните: даже одна неосторожность может стать причиной серьезных проблем.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.