Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới sử dụng WhatsApp làm kênh phân phối cho một trojan ngân hàng Windows có tên Astaroth trong các cuộc tấn công nhắm vào Brazil.
Chiến dịch này được Acronis Threat Research Unit đặt tên mã là Boto Cor-de-Rosa.
"Phần mềm độc hại truy xuất danh sách liên hệ WhatsApp của nạn nhân và tự động gửi tin nhắn độc hại đến từng liên hệ để lây lan thêm," công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Trong khi payload Astaroth cốt lõi vẫn được viết bằng Delphi và trình cài đặt của nó dựa vào Visual Basic script, module worm dựa trên WhatsApp mới được thêm vào được triển khai hoàn toàn bằng Python, làm nổi bật việc các threat actor ngày càng sử dụng các thành phần module đa ngôn ngữ."
Astaroth, còn được gọi là Guildma, là một banking malware đã được phát hiện trong thực tế từ năm 2015, chủ yếu nhắm mục tiêu vào người dùng ở Mỹ Latinh, đặc biệt là Brazil, để tạo điều kiện đánh cắp dữ liệu. Vào năm 2024, nhiều cụm threat actor được theo dõi dưới tên PINEAPPLE và Water Makara đã được quan sát thấy sử dụng email lừa đảo để phát tán malware.
Việc sử dụng WhatsApp làm phương tiện phân phối banking trojans là một chiến thuật mới đã trở nên phổ biến trong số các threat actor nhắm vào người dùng Brazil, một động thái được thúc đẩy bởi việc sử dụng rộng rãi nền tảng nhắn tin này ở quốc gia này. Tháng trước, Trend Micro đã cung cấp chi tiết về việc Water Saci dựa vào WhatsApp để lây lan Maverick và một biến thể của Casbaneiro.
Sophos, trong một báo cáo được công bố vào tháng 11 năm 2025, cho biết họ đang theo dõi một chiến dịch phân phối malware nhiều giai đoạn có tên mã STAC3150 nhắm mục tiêu vào người dùng WhatsApp ở Brazil với Astaroth. Hơn 95% thiết bị bị ảnh hưởng nằm ở Brazil, và ở mức độ thấp hơn, tại Hoa Kỳ và Áo.
Hoạt động này, đã diễn ra ít nhất từ ngày 24 tháng 9 năm 2025, phân phối các file ZIP chứa một downloader script truy xuất một PowerShell hoặc Python script để thu thập dữ liệu người dùng WhatsApp nhằm mục đích lây lan thêm, cùng với một MSI installer triển khai trojan. Những phát hiện mới nhất từ Acronis là sự tiếp nối của xu hướng này, trong đó các file ZIP được phân phối qua tin nhắn WhatsApp đóng vai trò là điểm khởi đầu cho việc lây nhiễm malware.
"Khi nạn nhân giải nén và mở file lưu trữ, họ sẽ gặp một Visual Basic Script được ngụy trang thành một file lành tính," công ty an ninh mạng cho biết. "Việc thực thi script này sẽ kích hoạt quá trình tải xuống các thành phần giai đoạn tiếp theo và đánh dấu sự bắt đầu của việc xâm nhập."
Các module của Malware
Điều này bao gồm hai module:
- Một module lây lan dựa trên Python thu thập danh bạ WhatsApp của nạn nhân và tự động chuyển tiếp một file ZIP độc hại đến từng người trong số họ, từ đó dẫn đến sự lây lan của malware theo kiểu worm
- Một banking module hoạt động ở chế độ nền và liên tục giám sát hoạt động duyệt web của nạn nhân, và kích hoạt khi các URL liên quan đến ngân hàng được truy cập để thu thập credentials và tạo lợi nhuận tài chính
"Tác giả malware cũng đã triển khai một cơ chế tích hợp để theo dõi và báo cáo các chỉ số lây lan theo thời gian thực," Acronis nói. "Mã định kỳ ghi lại các số liệu thống kê như số lượng tin nhắn được gửi thành công, số lần thử không thành công và tốc độ gửi được đo bằng số tin nhắn mỗi phút."
