Киберпреступники значительно усовершенствовали схему распространения опасного банковского трояна Astaroth (Guildma), начав массовую рассылку вредоносных ZIP-архивов через популярный мессенджер WhatsApp. Об этом свидетельствуют данные последнего исследования компании Sophos.
Согласно отчету экспертов по кибербезопасности, злоумышленники рассылают потенциальным жертвам сообщения, содержащие ZIP-архивы с MSI-установщиком внутри.
При запуске данный инсталлятор развертывает на компьютере полнофункциональную версию трояна Astaroth, осуществляя запись нескольких исполняемых файлов в системные директории и настраивая их автоматический запуск через реестр Windows.Особенностью новой кампании стало использование скрипта AutoIt, тщательно замаскированного под безобидный log-файл с расширением .log. Этот скрипт отвечает за установление связи с командным сервером злоумышленников и последующую загрузку дополнительных вредоносных модулей.
Географически основная нагрузка кампании пришлась на пользователей в Бразилии, где Astaroth традиционно проявляет наибольшую активность. Эксперты Sophos подчеркивают, что скорость развития вредоносной кампании и постоянная ротация методов атаки значительно повышают опасность данного семейства троянов как для частных пользователей, так и для корпоративных сетей.
Рекомендуется проявлять особую осторожность при получении архивных файлов через мессенджеры, даже от доверенных отправителей.
Свежие комментарии